ログインを有効にしても安全ですか?ログファイルのみ書き込み中本番サーバー?私の考えでは、これは望ましくない関心からログファイルを保護することができるようです。この技術を使用すると欠点がありますか?
答え1
ログに潜在的な機密データが含まれている場合は、書き込み専用でなければなりません。明らかに、ログを生成したアプリケーションとサーバー上で実行されている他のアプリケーションにのみ記録することができ、ログファイルが作成された後はログサブシステムにも書き込むことができますが、システム管理者と監査人はそれを読むことができるはずです。
ログファイルの場合、最も重要なのは整合性です。ただ文を書くだけでは完成度に寄与しません。可能であれば、ログファイルを追加専用にします(たとえば、chattr +a /path/to/log
Linuxで)。ただし、ルートのみがこれを実行でき、ログの回転ごとに実行する必要があるため、これは実用的ではない可能性があります。より良い方法は、他の操作を行わない別のサーバーにログインすることです(それでも読み取り不可能な追加の専用ログファイルがある場合は、セキュリティに少し重複があります)。