Ciao Piviul, Il giorno gio, 12/12/2024 alle 09.40 +0100, Piviul ha scritto: > On 12/12/24 09:21, Federico Di Gregorio wrote: > > Il 12 dicembre 2024 08:04:56 CET, Piviul <[email protected]> ha scritto: > > > Ciao a tutti alcune norme chiedono modalità per la protezione dei logs > > > degli amministratori di sistema dalla manomissione anche degli > > > amministratori stessi; ci vorrebbe un algoritmo basato sulla principio di > > > indeterminazione di Heisenberg, un algoritmo quantistico ;) Voi come > > > affrontate nel mondo comune la cosa? > > I log di journald sono firmati e non possono venire modificati (se cambi > > anche solo 1 byte journald se ne accorge e emette un warning). > > questo è già un buon inizio però l'amministratore li può eliminare... > anche journald può inviare i logs ad un journald di un altro server? In > ogni caso avete qualche consiglio, best practice su come ottenere > l'immodificabilità dei logs almeno degli amministratori di sistema?
Journald può essere configurato per inviare i log ad un secondo server. Vedi i file del pacchetto systemd-journal-remote. Riguardo la protezione dall'amministratore, potresti fare la replica gestita da un amministratore diverso, attivare la firma del journal da parte di systemd, e copiare periodicamente i file su un supporto rimovibile. Per farlo devi tenere presente che journald ha delle regolazioni riguardo quanti file e quando spazio usare, sicché automaticamente cancella i log più vecchi. Devi fare in modo da copiare tutto su supporto esterno prima che i log vengano cancellati automaticamente. Ma non è una configurazione a prova di bomba: ad esempio l'amministratore del primo server può riconfigurare e interrompere la replica verso il secondo. In genere la replica ha senso quando hai tante macchine de gestire e centralizzi journald. Per fare la sola archiviazione, puoi operare sul server principale, se ne hai solo uno. In ogni caso, se parli di norme legali, non devi fare qualcosa che funzioni assolutamente perfettamente (inappuntabile dal punto di vista tecnico). Devi solo ridurre al minimo la possibilità che ci siano alterazioni non volute. Se poi ci fossero, vai alla polizia postale e denunci la cosa. Legalmente non serve altro. Ad esempio, se ti va a fuoco il server di replica mentre facevi la copia su DVD sul server stesso, perdendo di fatto gli ultimi log, devi solo denunciare il fatto e sei sollevato dalla responsabilità legale. Ciao, Giuseppe
