Unveränderliche Logs unter OpenBSD für ISO 27001-Konformität
Dieser Artikel beschreibt, wie man den OpenBSD-Befehl `chflags` mit den Flags `sappnd` und `schg` nutzt, um unveränderliche Logs zu erstellen und so die Anforderungen der ISO 27001 an die Log-Integrität zu erfüllen. Obwohl die ISO 27001 Unveränderlichkeit nicht explizit fordert, ist sie durch die Anforderungen an den Log-Schutz implizit notwendig. Der Autor deaktiviert den `newsyslog` Cron-Job, erstellt ein Log-Archivverzeichnis und verwendet `chflags`, um die Flags für schreibgeschützten Anhang und Unveränderlichkeit für Log-Dateien zu setzen. Dies gewährleistet die Log-Integrität, selbst wenn der Root-Zugriff kompromittiert wird. Ein `/etc/rc.securelevel`-Skript automatisiert die Log-Rotation und die Flag-Verwaltung beim Booten und bietet so eine robuste und automatisierte Lösung für das Log-Management.