Re: protezione dei log

[Federico Di Gregorio <fog@dndg.it>]

On 12/12/24 09:40, Piviul wrote:

> On 12/12/24 09:21, Federico Di Gregorio wrote:
> > Il 12 dicembre 2024 08:04:56 CET, Piviul <piviul@riminilug.it> ha 
> > scritto:
> > > Ciao a tutti alcune norme chiedono modalità per la protezione dei 
> > > logs degli amministratori di sistema dalla manomissione anche degli 
> > > amministratori stessi; ci vorrebbe un algoritmo basato sulla 
> > > principio di indeterminazione di Heisenberg, un algoritmo 
> > > quantistico ;) Voi come affrontate nel mondo comune la cosa?
> > I log di journald sono firmati e non possono venire modificati (se 
> > cambi anche solo 1 byte journald se ne accorge e emette un warning).
>
> questo è già un buon inizio però l'amministratore li può eliminare... 
> anche journald può inviare i logs ad un journald di un altro server? 
> In ogni caso avete qualche consiglio, best practice su come ottenere 
> l'immodificabilità dei logs almeno degli amministratori di sistema?

Il fatto che un amministratore possa rimuovere fisicamente il file non 
significa che possa modificare i log: da questo punto di vista i log di 
journald non sono modificabili ed è facile capire se qualcuno ha rimosso 
dei file. Se oltre all'integrità vuoi anche rendere impossibile 
"perdere" i log è sufficiente inviarli ad un altra macchina con 
systemd-journal-remote.

federico