我有一个客户,由于他们对 GDPR 的解释,现在要求我们每 90 天更改一次密码。对于我们为他们开发的基于 Web 的系统来说,这很好,因为我们可以实施这些规则。但它们也要求我们更改用于访问服务器的 SSH 密钥的密码,这并不好。
如果没有,我们可以使用任何工具来处理这个问题吗?我在想:
一种。创建新密钥。
湾 将所有公钥分发到现有服务器。
C。删除现有的公钥。
d. 存档旧私钥。
我已经在这里阅读了一些关于 Puppet 的帖子,但据我所知,他们的目的只是解决在服务器之间分发公钥而不是每 n 天创建新密钥的问题?我应该进一步研究 Puppet 吗?
在密码保留和 ssh 密钥方面,社区标准是什么?你怎么做呢?
当您在实施与法规相关的某些事情时遇到特定问题时,服务器故障可能会为您提供帮助,但有关 GDPR 合规性的一般问题太广泛了,我们不是可以解释法律问题的律师,而且 Q/A 风格不允许需要深入讨论以了解您组织中的所有细节,以确保您确实遵守。
我有一个关于通用数据保护条例(GDPR)、欧盟条例 2016/679 的问题。
是否仍然允许在新 GDPR 下拥有服务器访问日志文件?由于不允许收集IP地址,我可以想象系统运营商在GDPR活跃的国家违反了法律。
编辑(感谢 HBruijn):“因为在 GDPR 下收集 IP 地址似乎是不允许的”
编辑:服务器日志文件是为了维护服务器的完整性。
欧盟的通用数据保护条例 (GDPR) 和德国的 DSGVO 实施在涉及个人相关数据(例如 IP 地址)时非常严格。但是这个问题是不是对GDPR,但如何实现与nginx的HTTP访问日志的监管,同时保持“识别”用户旅途中的匿名用户(边境从其他的用户旅程)的可能性。
我目前的实现是,我根本不记录远程 IP 和端口。我清除了上游/代理/等的环境变量,并且 simple 没有带有访问日志的远程 IP 和端口信息。
现在我面临的问题是我需要遵循用户旅程的路径。我只是没有任何方法可以“识别”哪些请求在哪个用户旅程中。我想指出的是,我也不使用 cookie 等。
“识别”“匿名用户”的传统方法是查找远程 IP 和日期信息。在同一天,同一个远程 IP 很可能是同一个用户。但是,如上所述,我不记录远程 IP 和端口信息。而且我现在也不想要。
我目前的做法是使用远程端口和请求日期散列远程 IP 地址。我会有日志的日期信息而不是远程端口,所以我不能 - 没有强力的蛮力 - 恢复远程 IP,一个与个人相关的数据。这种方法将有助于回馈一定程度的用户旅程识别,这对我有很大帮助。
完成此方法的一般工作流程是:
md5_hex("$remote_addr $remote_port $current_date"))执行散列操作,并将散列存储在新变量中(例如$remote_ip_anonymous),由于当前日期 salt,即使远程 IP 和远程端口相同,哈希也会改变。当远程端口改变时,它会改变。因此,这对于 GDPR 或至少是最低的数据安全类别应该没问题,而实际的远程 IP 将是具有 GDPR 的市长数据安全类别。
理论已经足够了……我将如何实现这种远程 IP 匿名化?我是否必须使用 nginx Perl 模块或 Lua 模块,或者是否有另一种(更快)方法来获取该哈希并将其存储到 nginx 变量中?
根据 GDPR,所有私人数据都应加密,因此我需要加密所有日志并检索它们以进行审核。我选择在日志轮换期间执行加密并使用 GnuPG 作为我的加密方法,但不知道如何gpg在logrotate.
gdpr ×5
logging ×2
encryption ×1
gpg ×1
log-files ×1
nginx ×1
puppet ×1
ssh-keys ×1
syslog ×1
web-server ×1