Регистрация Войти
Рейтинг:0
FormigaNinja avatar Server

Шифрование файлов журнала nginx

флаг gb
FormigaNinja

Можно ли зашифровать файлы журнала nginx? Если да, то будет ли logrotate экономить время лучшим временем для этого?

Предпосылкой для этого является то, что клиент беспокоится о проблемах безопасности, которые могут возникнуть при сохранении некоторого пользователя (идентификатора входа) в журналах доступа, когда сторонняя служба отправляет что-то через API веб-перехватчика.

Мне не удалось найти этот конкретный ответ, и мне интересно, не является ли это популярной (или правильной) мерой для предотвращения утечки информации о пользователях. Я что-то пропустил?

116
0 + 0
Рейтинг:4
avatar Server
флаг jp
AlexD

Ты можешь отправить access_log через системный журнал или именованный канал (мужчина мкфифо), а затем шифровать журналы, но обычно вы просто не регистрируете ничего конфиденциального и не отправляете ничего конфиденциального таким образом, чтобы это можно было зарегистрировать.

Если вы считаете, что «идентификатор входа» является конфиденциальной информацией, не отправляйте его как часть URL-адреса, поскольку URL-адрес может быть зарегистрирован где угодно — в системе отправителя, промежуточном прокси-сервере или брандмауэре, балансировщиках нагрузки и т. д.

0 + 0
Рейтинг:4
avatar Server
флаг cn
Bob

Я бы переосмыслил ваш сценарий риска и угрозы, прежде чем вы примете решение. «шифрование — это решение».

Потому что в целом доступ к системным журналам требует доступа и привилегий уровня администратора, и те, у кого уже есть такой уровень привилегий, обычно также могут напрямую обращаться к данным пользователя/приложения, независимо от того, какая информация о них попадает в журналы.

Но если определенная информация действительно слишком конфиденциальна, чтобы хранить ее в файлах журнала в виде открытого текста, ИМХО, вам следует очистить то, что вы регистрируете, а не продолжать его регистрировать. Рассмотрите возможность создания пользовательского log_format (где вы, например, регистрируете $ури а не $запрос ) и используйте его для своего API-интерфейса веб-перехватчика, чтобы предотвратить регистрацию параметров GET.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.