On 12/12/24 09:40, Piviul wrote:
On 12/12/24 09:21, Federico Di Gregorio wrote:
Il 12 dicembre 2024 08:04:56 CET, Piviul <[email protected]> ha
scritto:
Ciao a tutti alcune norme chiedono modalità per la protezione dei
logs degli amministratori di sistema dalla manomissione anche degli
amministratori stessi; ci vorrebbe un algoritmo basato sulla
principio di indeterminazione di Heisenberg, un algoritmo
quantistico ;) Voi come affrontate nel mondo comune la cosa?
I log di journald sono firmati e non possono venire modificati (se
cambi anche solo 1 byte journald se ne accorge e emette un warning).
questo è già un buon inizio però l'amministratore li può eliminare...
anche journald può inviare i logs ad un journald di un altro server?
In ogni caso avete qualche consiglio, best practice su come ottenere
l'immodificabilità dei logs almeno degli amministratori di sistema?
Il fatto che un amministratore possa rimuovere fisicamente il file non
significa che possa modificare i log: da questo punto di vista i log di
journald non sono modificabili ed è facile capire se qualcuno ha rimosso
dei file. Se oltre all'integrità vuoi anche rendere impossibile
"perdere" i log è sufficiente inviarli ad un altra macchina con
systemd-journal-remote.
federico
