Hallo,

ist es möglich, und wenn ja wie, eine Datei "on-the-fly" zu verschlüsseln. Sprich ich generiere ein Log-File, welches ausschliesslich codiert auf der Platte liegt. Also Outputfile(unverschlüsselt) --> Verschlüsselung --> Verschlüsseltes Log.

Danke und Gruß
compi

Dazu kann man einfach eine verschlüsselte Partition nehmen.
Allerdings muß man dann immer beim Booten per Hand das Passwort eingeben und ggf. das Logging-Programm neu starten (wenn das schon vorher gestartet ist; z. B. der syslogd).

Alternativ kann man das unverschlüsselte File in einer Ramdisk packen und täglich mit GPG und nur einem public key verschlüsseln:



/usr/bin/gpg --batch --no-tty --homedir "/bspuser/.gnupg" --yes --always-trust --encrypt --bzip2-compress-level 9 -r "$KEY" "${TMPFILE}"


Vorteile: Der Schlüssel zum Entschlüsseln ist nie auf dem Rechner; zumindest wird er da nie benötigt, und man muß nie ein Passwort von Hand eingeben.

Hi,

Hmm das Problem ist, dass die Benutzer keinerlei Möglichkeit haben sollen das Log File im Klartext einzusehen. Also fällt die Ramdisk Variante schon einmal raus.
Da es sich um einen Server handelt, der im Zweifelsfall von x-Personen einen Reboot verpasst bekommen darf, kann man auch die Variante mit der Passworteingabe beim booten vergessen.

Weitere Vorschläge?

Gruß
Compi

und was soll das bringen?

wenn mehrere user root zugriff erhalten können, sollten die auch das log sehen dürfen, oder willst du einen Dienst vor den Anderen verstecken?

Wenn jemand sieht, dass da Dienste im hintergrund rennen, die da nicht hingehören, werden die in der Regel abgeschossen und analysiert (wo liegen die binarys, wem gehören die, wie sieht die config aus...).

Für mich klingt das nach Ärger, der sich vermeiden liesse

Beschreibe doch mal den genauen Anwendungsfall.

mfg
cane

Eine Verschlüsselung ohne Eingabe eines Schlüssels ist nun mal nicht möglich. Ausnahme: Asymetrische Verschlüsselung.
In deinem Fall wäre ein LOG-Server wahrscheinlich die einfachere und sicherere Alternative.

Sonst kann ich Dir noch syslog-ng empfehlen. Der kann ein Programm als Ziel verwenden. Dann kannst Du z.B. eine batchdatei schreiben, die die Daten mit gpg verschlüsselt.

Hallo,

also ist ein Zwischenlösung die sicherlich wie othan schon gesagt hat, nicht ganz sauber ist. Ziel ist es die ein Log File so verschlüsselt zu speichern, dass kein Benutzer darauf zugriff hat, bevor es nicht mittels eines Perl Skriptes gefiltert wurde, so dass nur die Tätigkeiten und nicht die Person, welche diese ausgeführt hat im Log steht. Sprich am Ende soll eine Ansammlung von KommandozeilenEINGABEN im Log stehen und mehr nicht.

Gruß