ではsystemd-journald.serviceマニュアルページ:
このデーモンは、安全で信頼できる方法で各ログメッセージに対して多数のメタデータフィールドを暗黙的に収集します。偽造できない方法。収集されたメタデータの詳細については、systemd.journal-fields(7)を参照してください。
偽造できない方法でメッセージを受け取るとはどういう意味ですか?
答え1
JournaldはForward Safe Sealing(FSS)をサポートしています。。
有効にすると、定期的にログに暗号化方式で署名します。その後、ログログを確認して、ログが署名されてから誰かがログを改ざんしていることを確認できます。
このメカニズムは、ログブロブが署名される前に行われた変更を検出しないが、攻撃者が検出できない方法でログを改ざんする機会のウィンドウを絞り込むことを目的としています。
例:
journalctl --interval=10s --setup-keys >> journalctl-fss-setupkeys
journalctl --rotate
journalctl --verify --verify-key=`cat journalctl-fss-setupkeys`