Nginx
加密 nginx 日誌文件
是否可以加密 nginx 日誌文件?如果是這樣,logrotate 會是節省時間的最佳時間嗎?
這樣做的背景是,當第三方服務通過 webhook apis 發送某些內容時,客戶端擔心將某些使用者(登錄 ID)保存在訪問日誌中可能發生的安全問題。
我找不到這個具體的答案,我想知道它是否不是防止使用者資訊洩露的流行(或正確)措施。我錯過了什麼嗎?
您可以
access_log
通過命名syslog
管道(man mkfifo
如果您認為“登錄 ID”是敏感資訊,那麼不要將其作為 URL 的一部分發送,因為 URL 可以在任何地方記錄 - 發送方系統、中間代理或防火牆、負載平衡器等。
*在您決定“加密是解決方案”*之前,我會重新考慮您的風險和威脅情況。
因為通常訪問系統日誌需要管理員級別的訪問權限和特權,而那些已經擁有此類特權級別的人通常也可以直接訪問使用者/應用程序數據,而不管日誌中最終的資訊是什麼。
但是,如果某些資訊確實太敏感而無法保存在明文日誌文件中,恕我直言,您應該清理您記錄的內容,而不是繼續記錄它。考慮創建一個自定義
log_format
(例如,在其中記錄$uri
而不是$request
)並將其用於您的 webhook API,以防止記錄 GET 參數。