[AGSS] alte Logfiles / Viren und deren Lagerort

Lars Rupp l.rupp at web.de
Mon Jul 10 20:37:14 CEST 2006 

Hallo Uwe

On Monday 10 July 2006 19:43, Uwe Schoffer wrote (shortened):
> Aufzubewahrende Logfiles (onlinelog...) landen beim
> Arktur-Schulserver jeweils am Monatsende gepackt bei root. Ja sicher,
> auch dort kann es zum Überlauf kommen...

...und es kommen noch weniger Leute da dran.


> Maxage=365, weil in Schulen am Schuljahresende eigentlich immer
> zwingend ein Schnitt zu machen ist.

ok. Würde ich auch so sehen wollen. Allerdings weiß ich derzeit nicht ob 
uns da nicht irgendwann mal ein Strick gedreht wird nach der 
Methode "aber laut Paragraph $foo in Gesetz $bla Land $sowieso müssen 
die Dateien mindestens xyz Jahrhunderte aufbewahrt werden". Ich wäre 
also für eine "Maxage"-Variable, die per default auf 365 Tage gesetzt 
ist und ggf. geändert werden kann.


> > => Vorschlag für "alte" Logfiles: nach
> > /home/groups/sysadmins/logfiles/ mit Lese- und Schreibrechten für
> > die Sysadmins, damit diese ggf. auch nachsehen können.
>
> Plus: Im Home ist meist viel Plattenplatz

Plus: Home wird meist per Backup zusätzlich gesichert. (Beim OSS 
verzichten wir z.B. auf die meisten anderen Verzeichnisse und könnten 
dann auch /var/log ausnehmen.)

> Minus: Logfiles haben im Home eigentlich gar nichts zu suchen.

Warum nicht?
a) Wenn ein Admin die Logfiles von seinem Client (und nicht direkt am 
Server) durchsehen möchte, kann er das mit Dateien in /home problemlos 
tun. Ansonsten reißt er evtl. selbst ein Sicherheitsloch, weil er 
zusätzliche Freigaben einrichtet.
b) Wenn die Dateien über Zugriffsrechte entsprechend geschützt sind, 
sollte es auch in /home keine Probleme geben. Allerdings müßte man hier 
sicherlich auf NFS aufpassen und notfalls die Dateien verschlüsseln.


> > => Vorschlag für Viren (egal ob Mails oder Dateien?):
> > /home/groups/sysadmins/infected/ ebenfalls wieder mit Lese- und
> > Schreibrechten für die (sys-)admins.
>
> Schulen sind keine Orte, wo Unternehmenskritische Daten gespeichert
> werden. Daher ist das Löschen von Viren in meinen Augen der richtige
> Weg. Erzieherisch ist dieser Weg auch. Natürlich nur in Verbindung
> mit Logfiles, damit der Gedanke an Lehrerwillkür gar nicht erst
> entstehen kann.

Hm. Was passiert, wenn es eine "immens wichtige" Datei des Direktors 
war, die weg ist? 
Was passiert, wenn Schüler xy seine elektronische Klausur so 
manipuliert, dass der Virenscanner "false positive" meldet und die 
Klausur ist weg?
Ich würde die infizierten Dateien wirklich lieber erst eine Weile 
aufheben und danach erst löschen. 


> Bei heutigen Fesplatten sollte /var einfach mit entsprechender Größe
> eingerichtet werden. LVM und eine automatisierte Warnung vor dem
> Überlauf könnten den Rest erledigen.
>
> Mir persönlich gefällt /home als Logspeicher nicht, lasse mich aber
> mit guten Argumenten gern überstimmen.

Derzeit sind deine Argumente für die Logfiles sicherlich besser. Bei den 
Viren sehe ich mich derzeit (noch) im Vorteil ;-)


Viele Grüße,
Lars


-- 
http://www.linux-schulserver.de/
Das Schwierige am Diskutieren ist nicht, den eigenen Standpunkt zu 
verteidigen, sondern ihn zu kennen. 
- Andrè Maurois
GPG fingerprint = 430B 22B1 4491 0F0E 005A  8ADC BA18 E1B2 6539 BA0D
--------------------------------------------------------------------