crypto filesystem / /var/log
Florian Lohoff
flo at rfc822.org
Tue Dec 4 16:00:17 CET 2007
Hi *,
ich habe in den letzten tagen diverse homedirs zu cryptofilesystem
konvertiert was soweit auch gut geklappt hat.
Die frage ist wenn ich kisten wirklich so dicht machen will das wirklich
keine spuren unverschluesselter natur vorhanden sein soll ist ja auch
noch cryptoswap notwendig. Das ganze ist ja unproblematisch weil bei
jedem booten einfach ein neues dm-crypt gebaut wird. Was ist aber mit
logfiles z.b. in /var/log ?
Diese sollte ja tunlichst auch nicht der forensik zur verfuegung stehen.
/var ist jetzt bloede in ein cryptofs zu legen da ich dann ja beim
booten schon einen schluessel/passphrase brauche. Meine kisten sind aber
ausnahmslos nur remote erreichbar d.h. ich brauche eine moeglichkeit das
die kiste bootet und dann nachtraeglich ggfs die logfiles moved oder
dann erst den syslog startet wenn ich das cryptofs mounte. Beim moven
waere ja das problem das spuren der logfiles im alten filesystem
verbleiben es sei denn man nimmt sowas wie tmpfs was temporaer auf
/var/log gemounted ist und dann durch einen bind mount in das cryptofs
ersetzt wird a la:
/etc/init.d/sysklogd stop
DIR=/crypt/log/boot-`date +%Y%m%d%H%M`
mkdir ${DIR}
mv /var/log/* ${DIR}
fuser -mk /var/log
umount /var/log
mount -o bind /crypt/log /var/log
/etc/init.d/sysklogd start
ist natuerlich nicht der hit weil dinge die nicht vie syslog
loggen a la apache, lighthttpd, rsync daemon, uucp etc dann sterben.
Hat da jemand schon praktische erfahrungen/gedanken/loesungen ?
Flo
--
Florian Lohoff flo at rfc822.org +49-171-2280134
Those who would give up a little freedom to get a little
security shall soon have neither - Benjamin Franklin
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20071204/24fb9ff2/attachment.sig>
More information about the Linux
mailing list