에서는systemd-journald.service매뉴얼 페이지:
이 데몬은 안전하고 신뢰할 수 있는 방식으로 각 로그 메시지에 대해 많은 수의 메타데이터 필드를 암시적으로 수집합니다.위조할 수 없는 방법. 수집된 메타데이터에 대한 자세한 내용은 systemd.journal-fields(7)를 참조하세요.
위조할 수 없는 방식으로 메시지를 받는다는 것은 정확히 무엇을 의미합니까?
답변1
Journald는 FSS(Forward Safe Sealing)를 지원합니다..
활성화되면 주기적으로 로그에 암호화 방식으로 서명합니다. 그런 다음 로그 로그를 확인하여 로그가 서명된 이후 누군가 로그를 변조했는지 확인할 수 있습니다.
이 메커니즘은 로그 Blob이 서명되기 전에 이루어진 변경 사항을 감지하지 못하지만 공격자가 감지할 수 없는 방식으로 로그를 변조할 수 있는 기회의 창을 좁히는 것이 목적입니다.
예:
journalctl --interval=10s --setup-keys >> journalctl-fss-setupkeys
journalctl --rotate
journalctl --verify --verify-key=`cat journalctl-fss-setupkeys`