Nginx

加密 nginx 日誌文件

  • December 20, 2021

是否可以加密 nginx 日誌文件?如果是這樣,logrotate 會是節省時間的最佳時間嗎?

這樣做的背景是,當第三方服務通過 webhook apis 發送某些內容時,客戶端擔心將某些使用者(登錄 ID)保存在訪問日誌中可能發生的安全問題。

我找不到這個具體的答案,我想知道它是否不是防止使用者資訊洩露的流行(或正確)措施。我錯過了什麼嗎?

您可以access_log通過命名syslog管道(man mkfifo

如果您認為“登錄 ID”是敏感資訊,那麼不要將其作為 URL 的一部分發送,因為 URL 可以在任何地方記錄 - 發送方系統、中間代理或防火牆、負載平衡器等。

*在您決定“加密是解決方案”*之前,我會重新考慮您的風險和威脅情況。

因為通常訪問系統日誌需要管理員級別的訪問權限和特權,而那些已經擁有此類特權級別的人通常也可以直接訪問使用者/應用程序數據,而不管日誌中最終的資訊是什麼。

但是,如果某些資訊確實太敏感而無法保存在明文日誌文件中,恕我直言,您應該清理您記錄的內容,而不是繼續記錄它。考慮創建一個自定義log_format(例如,在其中記錄$uri而不是$request)並將其用於您的 webhook API,以防止記錄 GET 參數。

引用自:https://serverfault.com/questions/1087759