Просто из любопытства, что если пользователь root по ошибке остановит / запустит какой-либо сервис и попытается удалить эти следы из файлов журнала и сохранить эти файлы журнала. Тогда как мы можем гарантировать, что наш файл журнала является доверенным. Есть ли способ, когда даже root(суперпользователь) также не может редактировать / изменять содержимое файлов / var / log / *.
2 ответа
3
Нет, нет root может делать все.
Вы можете настроить syslogd для входа на другой компьютер в дополнение к /var/log или настроить на этом компьютере задание cron для регулярного копирования файлов журналов (например, каждую минуту rsync ).
Вы также можете ограничить права, которые вы предоставляете разным пользователям в вашей конфигурации sudo , но это не защищает от случаев, когда ограничение доступа слишком громоздко или людей, которым все равно удается обойти ограничения.
1
Как историческое примечание, еще в темные времена, до появления быстрых сетей и больших объемов хранения, мы использовали аналоговую систему хранения с однократной записью и несанкционированным доступом. Это был специальный точечно-матричный принтер с коробкой сгиба бумаги с зелеными полосами за запертой дверью. Последовательность загрузки | / - \, вкрапленный символом возврата, оставил некоторые интересные дыры на бумаге.