Как настроить logrotate с GPG для шифрования GDPR?

Вопреки тому, что часто утверждается, шифрование всех персональных данных не является обязательным, но предлагается только в качестве хорошего варианта четыре раза в общем регулировании защиты данных (GDPR):

• "... принять меры по снижению этих рисков, такие как шифрование". ( Сольный концерт 83)
• "... соответствующие меры предосторожности, которые могут включать шифрование" ( ст. 6, 4e)
• "... включая, среди прочего, в зависимости от обстоятельств: (a) псевдоним и шифрование личных данных". ( Ст. 32, 1а)
• "... непонятно любому лицу, которому не разрешен доступ к нему, например шифрование" ( ст. 34, 3а)

Вместо того, чтобы требовать, шифрование является инструментом. Статья i-SCOOP по шифрованию GDPR представляет собой более полный обзор по этому вопросу, включая также некоторые соответствующие руководящие принципы. Анализ рисков является важной частью вашей стратегии GDPR и может выявить некоторые риски, которые могут быть уменьшены путем шифрования журналов. Тогда эта практика может быть полезной, но GDPR не требует этого.

Вы можете, например, использовать postrotate скрипт для шифрования повернутого журнала с помощью GnuPG.

/var/log/whatever.log {
    . . .
    postrotate
        gpg --encrypt --recipient my@example.com /var/log/whatever.log.1
    endscript
    . . .
}

Даже лучше, logrotate позволяет заменить значение по умолчанию gzip с другими инструментами, включая GnuPG:

compress
compresscmd /usr/bin/gpg
compressoptions --encrypt --default-key your-key-id
compressext .gpg

Эта идея, принятая из Ctrl.blog GDPR и личных данных в журналах веб-сервера, делает это глобальным. В статье отмечается, что необходимость в шифровании зависит от типа данных, обсуждается, что могут содержать журналы личных данных и каковы правовые основы ведения журнала, как это обычно делается без согласия.