Re: protezione dei log

To: debian-italian@lists.debian.org
Subject: Re: protezione dei log
From: Giuseppe Sacco <giuseppe@sguazz.it>
Date: Thu, 12 Dec 2024 14:22:45 +0100
Message-id: <[🔎] f25b317aa687d0650a5a3dece1c5fb0b54c15619.camel@sguazz.it>
In-reply-to: <[🔎] 429acdba-3134-46a6-8f25-c4505743bc1c@riminilug.it>
References: <[🔎] 6a6831d0-8ae1-446e-a91a-75a461d2c5b1@riminilug.it> <[🔎] 0A0E6BC5-3F4B-459C-A61B-059F9C6F54FB@dndg.it> <[🔎] 429acdba-3134-46a6-8f25-c4505743bc1c@riminilug.it>

Ciao Piviul,

Il giorno gio, 12/12/2024 alle 09.40 +0100, Piviul ha scritto:
> On 12/12/24 09:21, Federico Di Gregorio wrote:
> > Il 12 dicembre 2024 08:04:56 CET, Piviul <piviul@riminilug.it> ha scritto:
> > > Ciao a tutti alcune norme chiedono modalità per la protezione dei logs degli amministratori di sistema dalla manomissione anche degli amministratori stessi; ci vorrebbe un algoritmo basato sulla principio di indeterminazione di Heisenberg, un algoritmo quantistico ;) Voi come affrontate nel mondo comune la cosa?
> > I log di journald sono firmati e non possono venire modificati (se cambi anche solo 1 byte journald se ne accorge e emette un warning).
> 
> questo è già un buon inizio però l'amministratore li può eliminare... 
> anche journald può inviare i logs ad un journald di un altro server? In 
> ogni caso avete qualche consiglio, best practice su come ottenere 
> l'immodificabilità dei logs almeno degli amministratori di sistema?

Journald può essere configurato per inviare i log ad un secondo server. Vedi
i file del pacchetto systemd-journal-remote.

Riguardo la protezione dall'amministratore, potresti fare la replica gestita
da un amministratore diverso, attivare la firma del journal da parte di
systemd, e copiare periodicamente i file su un supporto rimovibile. Per farlo
devi tenere presente che journald ha delle regolazioni riguardo quanti file e
quando spazio usare, sicché automaticamente cancella i log più vecchi. Devi
fare in modo da copiare tutto su supporto esterno prima che i log vengano
cancellati automaticamente.

Ma non è una configurazione a prova di bomba: ad esempio l'amministratore del
primo server può riconfigurare e interrompere la replica verso il secondo.

In genere la replica ha senso quando hai tante macchine de gestire e
centralizzi journald. Per fare la sola archiviazione, puoi operare sul server
principale, se ne hai solo uno.

In ogni caso, se parli di norme legali, non devi fare qualcosa che funzioni
assolutamente perfettamente (inappuntabile dal punto di vista tecnico). Devi
solo ridurre al minimo la possibilità che ci siano alterazioni non volute. Se
poi ci fossero, vai alla polizia postale e denunci la cosa. Legalmente non
serve altro. Ad esempio, se ti va a fuoco il server di replica mentre facevi
la copia su DVD sul server stesso, perdendo di fatto gli ultimi log, devi
solo denunciare il fatto e sei sollevato dalla responsabilità legale.

Ciao,
Giuseppe

Reply to:

Follow-Ups:
- Re: protezione dei log
  - From: Piviul <piviul@riminilug.it>

References:
- protezione dei log
  - From: Piviul <piviul@riminilug.it>
- Re: protezione dei log
  - From: Federico Di Gregorio <fog@dndg.it>
- Re: protezione dei log
  - From: Piviul <piviul@riminilug.it>

Prev by Date: Re: protezione dei log
Next by Date: Re: protezione dei log
Previous by thread: Re: protezione dei log
Next by thread: Re: protezione dei log
Index(es):
- Date
- Thread