我们有数百个工作站、数十台服务器,它们将日志发送到syslog服务器或 Windows 事件收集器服务器,无论这些日志来自 Linux 还是 Windows 计算机。此时,日志的完整性和机密性由访问规则管理,并通过https和推送到日志服务器TCP。发送日志的资产的身份验证不执行,但资产清单遵循信息系统内部的严格政策。
由于我们有一个PKI,我想用它来将日志安全提升到一个新的水平。确保传输过程中的安全是可以的,但由于日志文件在不断增长,我不太愿意在归档之前保护日志存储。这意味着:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
我可以在归档时对日志文件进行签名,但当前的日志文件怎么办?(除非有工具已经涵盖了上述伪代码,否则实现起来很复杂)?
我将问题扩大到:保护日志完整性和确保其真实性的最佳实践是什么?
答案1
至少对于 Linux Syslogs 来说,使用 rsyslogd 可以通过 TLS 保护日志传输。
https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.html
此外,fluentd、filebeat、logstash 和所有其他主要日志传输器都支持 TLS 加密传输。
我确实认为 Windows 事件日志也可以使用类似的方法。