是否可以加密 nginx 日志文件?如果是这样,logrotate 会是节省时间的最佳时间吗?
这样做的背景是,当第三方服务通过 webhook apis 发送某些内容时,客户端担心将某些用户(登录 ID)保存在访问日志中可能发生的安全问题。
我找不到这个具体的答案,我想知道它是否不是防止用户信息泄露的流行(或正确)措施。我错过了什么吗?
AskOverflow.Dev
是否可以加密 nginx 日志文件?如果是这样,logrotate 会是节省时间的最佳时间吗?
这样做的背景是,当第三方服务通过 webhook apis 发送某些内容时,客户端担心将某些用户(登录 ID)保存在访问日志中可能发生的安全问题。
我找不到这个具体的答案,我想知道它是否不是防止用户信息泄露的流行(或正确)措施。我错过了什么吗?
您可以
access_log通过命名syslog管道(man mkfifo如果您认为“登录 ID”是敏感信息,那么不要将其作为 URL 的一部分发送,因为 URL 可以在任何地方记录 - 发送方系统、中间代理或防火墙、负载平衡器等。
在您决定“加密是解决方案”之前,我会重新考虑您的风险和威胁情况。
因为通常访问系统日志需要管理员级别的访问权限和特权,而那些已经拥有此类特权级别的人通常也可以直接访问用户/应用程序数据,而不管日志中最终的信息是什么。
但是,如果某些信息确实太敏感而无法保存在明文日志文件中,恕我直言,您应该清理您记录的内容,而不是继续记录它。考虑创建一个自定义
log_format(例如,在其中记录$uri而不是$request)并将其用于您的 webhook API,以防止记录 GET 参数。