说journald 以“不可伪造的方式”收集日志是什么意思?

说journald 以“不可伪造的方式”收集日志是什么意思?

据说在systemd-journald.service手册页:

该守护进程将以安全且可靠的方式隐式收集每条日志消息的大量元数据字段。不可伪造的方式。有关收集的元数据的更多信息,请参阅 systemd.journal-fields(7)。

以不可伪造的方式接收消息到底意味着什么?

答案1

Journald 支持前向安全密封 (FSS)

启用后,它会定期对日志进行加密签名。然后,您可以验证日志日志,以检查日志签名后是否有人篡改过。

请注意,此机制不会检测在日志 blob 签名之前所做的更改,但其想法是缩小攻击者以不可检测的方式篡改日志的机会窗口。

例子:

journalctl --interval=10s --setup-keys >> journalctl-fss-setupkeys
journalctl --rotate
journalctl --verify --verify-key=`cat journalctl-fss-setupkeys`

相关内容