※VPDiskの販売は2014年2月末をもって終了し、現在はサポートのみ行っております。導入をご検討のお客様は後継商品のFileProtectorをご参照ください。
シスログ(syslog)暗号化手順
syslogを暗号化します。
syslogデーモンと、ログスイッチのプログラムに暗号鍵を使えるよう設定することで暗号化状態のsyslogに透過的な更新が行えるようになります。
1.syslogデーモンの停止
# /etc/init.d/syslog stop
2.rootユーザで、対象のsyslogを暗号化
# vpd start -f <キーボックスのパス/キーボックス名>
# vpd lock /var/log/<暗号化対象syslog>
# vpd lock -t hard /var/log ← syslogのディレクトリを暗号化+上書き削除禁止(hard属性)でロック
3.syslogデーモンが、暗号鍵付きでスタートできるように設定
# vpd delegate /sbin/syslogd <キーボックスのパス/キーボックス名>
# vpd delegate /usr/sbin/logrotate <キーボックスのパス/キーボックス名> ← ログスイッチのプログラム
(# vpd delegate /sbin/minilogd <キーボックスのパス/キーボックス名> ← minilogd経由でsyslogを書くものがある場合は、これも暗号鍵を使えるようにします)
4.syslogデーモンの起動
# /etc/init.d/syslog start
※SELinuxを有効にしている場合
SELinuxを有効にしていると、暗号化した際に、syslogのSELinuxアクセス権が読み取れなくなってしまいます。
SELinuxを無効にすか、syslogに対するSELinuxの保護を解除してく下さい。
※SELinuxを無効にする方法
/etc/selinux/config内の下記一行を変更し、システムを再起動します。
SELINUX=disabled
以上で、syslogの暗号化は完了です。