MariaDB TDE - как зашифровать файл журнала ошибок?

Question

(Примечание: я не использовал MariaDB. В данный момент я занимаюсь только исследованиями.)

Я прочитал Поддержка шифрования TDE / data-at-rest от MariaDB . В разделе Ограничения говорится: «Журнал ошибок MariaDB не зашифрован. В некоторых случаях журнал ошибок может содержать текст запроса и данные ...»

Я предполагаю, что это утверждение подразумевает, что ошибки запроса, которые могут содержать дату рождения (DOB), будут явно записаны в журнал ошибок. Если да, то каковы обходные пути для обеспечения безопасности журналов ошибок? Если решение обрабатывает шифрование в системном журнале, объясните, пожалуйста, этот процесс?

Кроме того, есть ли какие-либо другие пункты, перечисленные в Ограничения , о которых должен знать такой новый пользователь, как я? ? Я не знаком со сложностями MariaDB.

Спасибо.

Answer 1

Медленный журнал запросов, общий журнал и журнал ошибок не шифруются.

Хотя медленный журнал запросов и общий журнал (см. MDEV-9639 ) обычно не используются в производственной среде, журнал ошибок может содержать в некоторых случаях (например, сервер cra sh) SQL операторы, которые могут содержать конфиденциальные данные.

Решением будет перенаправление журнала ошибок в syslog и включение шифрования rsyslogd, Дополнительную информацию можно найти здесь:

Запись журнала ошибок в системный журнал на Unix