Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
wiki:services:proxy [2015/12/02 22:34] Thithib |
wiki:services:proxy [2020/06/27 18:16] (Version actuelle) |
||
---|---|---|---|
Ligne 107: | Ligne 107: | ||
Ce script envoie via NFS les logs d' | Ce script envoie via NFS les logs d' | ||
+ | |||
+ | La clé GPG utilisée est valable 1 ans, elle permet de chiffrer les logs pendant le mandat du président qui a généré la clé et qui doit la garder en sécurité, il est responsable de la clé privée. Il doit la garder et au moment de la passation déchiffrer tout les logs pour les chiffrer avec la clé du nouveau président. Donc au moment de la passation le nouveau président doit générer une nouvelle paire de clé, et remlpacer la clé publique sur les deux proxys et la passerelle : | ||
+ | |||
+ | On importe la nouvelle clé | ||
+ | < | ||
+ | gpg --import --armor fichier | ||
+ | </ | ||
+ | On signe la nouvelle clé pour pouvoir chiffrer sans que gpg pose la question de la confiance à la clé (et perdre un fichier de log parce que la commande gpg n' | ||
+ | < | ||
+ | gpg --sign-key key_id | ||
+ | </ | ||
+ | |||
+ | Puis on utilise le script switch_cipher.sh situé dans /root qui permet de déchiffrer et rechiffrer les logs avec des clés différentes. | ||
+ | |||
Pour récupérer un journal : | Pour récupérer un journal : | ||
Ligne 114: | Ligne 128: | ||
</ | </ | ||
- | puis entrez la clé qui a été utilisée | + | après avoir téléchargé le fichier de log access.log-20131126.gz.gpg sur votre pc puis utilisez votre clé privé |
+ | |||
+ | Une fois que vous avez fini n' | ||
+ | < | ||
+ | shred -uz access.log-20131126.gz | ||
+ | </ | ||
===== Cas particulier : la sauvegarde des logs proxys ===== | ===== Cas particulier : la sauvegarde des logs proxys ===== |