[セキュリティ編]管理者権限を共有してはいけない:ITpro
rootログイン禁止して、sudoやsuを使って権限昇格を行うことでログを取得しようという考えかな
管理者権限を共有させない方法としては,Windows系OSであれば管理者それぞれに個人アカウントを作成し,そのアカウントをAdministratorsグループに所属させる方法がある。
UNIX系OSであれば「root」によるログインを禁止し,個人アカウントでログインした後,必要な時に権限を昇格させる方法がある。権限昇格を許可するアカウントを制限することと,権限昇格時に生成されるログによる個人特定を組み合わせることも推奨される。
ログについても要注意ですね。侵入ログを消すのは常套手段なのでね・・・
あと、mmcでリモートで管理する場合ってログ出るのかなぁ・・・
また,管理者権限の取り扱いでは,ログについても十分に注意を払う必要がある。管理者権限を持つ利用者はシステム上のすべての操作が可能である。ログの改ざん,消去も可能であるためだ。
これに対しては,ログ・サーバーを設置してログをリモートで管理することで改ざんを防止する方法がある。ログ・サーバーの管理者権限はシステム自体のものとは別に用意することで,ログ・サーバーに転送されたログをシステム側の管理者権限で変更できないようにする。ログ転送の妨害など抜け道は考えられるが,プロセス監視との組み合わせなどで抑止力を高めれば効果的だ
