Welche Daten sollten aus Protokolldateien, Fehlermeldungen usw. ausgeschlossen werden, wenn sie online veröffentlicht werden?

Welche Daten sollten aus Protokolldateien, Fehlermeldungen usw. gelöscht werden, wenn sie als Screenshot veröffentlicht werden, um vertrauliche Informationen nicht preiszugeben?

Um meine Frage einzugrenzen : Was sollte ein Linux-Benutzer besonders beachten, wenn er Screenshots von Protokolldateien, Fehlermeldungen, Einstellungen usw. veröffentlicht?

Dies ist eine weitreichende Frage, die wahrscheinlich nur mit den gleichen Pinselstrichen beantwortet werden kann. Letztendlich kommt es darauf an, was Sie als Benutzer schützen möchten.

Grundsätzlich sollten Sie nichts veröffentlichen, was es jemand anderem ermöglichen würde, Ihr System oder eines der anderen verbundenen Tools oder Konten, die Sie verwenden, leichter zu gefährden. Aus diesem Grund sollten Sie Folgendes berücksichtigen:

• Scrubben Sie alle Passwörter von jedem Material, das Sie veröffentlichen
• Verschleierung Ihrer IP-Adresse
• Ändern der Details der Ports, die Sie für das Netz öffnen
• Details zu Ihrem ISP entfernen
• Redigieren Sie Ihre persönliche E-Mail-Adresse, wenn Sie nicht (mehr) Spam anziehen möchten
• Ändern oder Entfernen von Hardware-IDs wie MAC-Adressen

Das eigentliche Risiko liegt nicht unbedingt in den einzelnen Informationen (außer vielleicht im Fall Ihres Passworts - insbesondere, wenn Sie es wiederverwenden, aber das würden Sie natürlich nicht tun), sondern insgesamt Ein Übeltäter könnte sich mit etwas Zeit und Mühe zusammensetzen ¹ .

Natürlich geht es nicht nur um Technologie oder Ihr System. Im weiteren Sinne gibt es andere prophylaktische Maßnahmen, die Sie möglicherweise in Betracht ziehen möchten.

Wenn Sie Ihre Privatsphäre und die Ihrer Familie schätzen, möchten Sie zusätzliche Schritte unternehmen, um sicherzustellen, dass nur die persönlichen Daten, mit denen Sie vertraut sind, öffentlich zugänglich sind. Beispielsweise können Ihr geografischer Standort, Ihr vollständiger rechtlicher Name, Ihr Foto oder weitere identifizierende Informationen Material darstellen, das für Identitätsdiebstahl oder andere schändliche Aktivitäten verwendet werden kann.

Es ist unwahrscheinlich, dass diese anderen Facetten von Informationen in Screenshots oder Protokolldateien enthalten sind. Wenn sie jedoch bereits über andere Mittel wie Websites für soziale Netzwerke und dergleichen online sind, erhöht dies die Oberfläche der Sicherheitsanfälligkeit, und Sie sollten dies auf jeden Fall tun Sei dir dieses Profils zumindest bewusst .

^{1. Standardniveaus der angewandten Paranoia ...}

Die Grundregel sollte sein, nur die notwendigen Informationen offenzulegen.

Hier gelten also die grundlegenden Sicherheitsregeln:

1. Nur so viel Zugriff / Informationen wie nötig
2. Alles andere sollte verboten / nicht lesbar sein

Wie Sie aus vielen hier gestellten Fragen ersehen können, werden Sie in den Kommentaren bei Bedarf um weitere Informationen gebeten. Es liegt jedoch an Ihnen, persönliche Informationen über Personen oder über technische Details zu verschleiern, die für dieses Problem nicht benötigt werden.

Wenn man die beiden anderen (großartigen) Antworten hinzufügt, ist es auch gut zu erkennen, dass der Prozess der Faktorentrennung, der für gute Tests / Fehlerbehebung so wichtig ist, in irgendeiner Weise mit dem Entfernen der vertraulichen Informationen zusammenhängt.

Mit anderen Worten, versuchen Sie nach Möglichkeit immer, Ihr Problem in einer separaten Umgebung zu replizieren. Abgesehen von dem Vorteil, irrelevante Informationen auszuschließen (was häufig als solche herauskommt) und Ihnen dabei zu helfen, die Grundursache zu finden, kann dies auch Ihre Produktionsumgebung vor dem Labor verbergen.

Spezifischere Beispiele:

• Erstellen und verwenden Sie ein anderes Testkonto (vergessen Sie nicht, es anschließend zu löschen).

• Wenn Sie über genügend Rechenleistung verfügen, halten Sie eine virtuelle Testmaschine oder sogar ein virtuelles Netzwerk bereit und replizieren Sie das Problem dort. Dies kann Ihnen sogar einen großen Vorteil von Schnappschüssen verschaffen.

• In diesen Umgebungen werden Dinge wie "foo", "bar", "me", "here" genannt. In vielen Fällen wird dadurch hervorgehoben, dass die Informationen von geringem oder keinem Wert sind

Wenn Sie auf diese Weise experimentieren (und dabei immer noch die Aussagen in den beiden anderen Beiträgen berücksichtigen ), werden Sie feststellen, dass es viel weniger Informationen gibt, die relevant genug sind, um tatsächlich überhaupt erst veröffentlicht werden zu müssen, und dies wiederum viel weniger Informationen, die noch zu verbergen sind.

Ergänzen Sie einfach die anderen Antworten, die Ihnen zeigen, welche Arten von Dingen in Protokollen anonymisiert werden sollen. Ich dachte, ich würde eine Liste von Tools bereitstellen, mit denen die Anonymisierung der Protokolle erleichtert werden kann.

TCPDUMP / pcap

Die Liste enthält hauptsächlich Tools für den Umgang mit tcpdump / pcap-Protokollen. HINWEIS: Die vollständige Liste der Tools und Bibliotheken finden Sie hier .

• AnonTool
  • Netflow (v5 und v9) wird im tcpdump-Format oder auf Live-Schnittstellen verfolgt
• Korallenriff
  • Netzwerk Schnittstellen; DAG-, FORE- und POINT-Capture-Karten; Trace-Dateien in den Formaten CoralReef (.crl), tcpdump / pcap, DAG (Legacy und ERF) oder TSH (.tsh)
• ipsumdump
  • tcpdump / pcap, DAG (Legacy und ERF), FR, FR +, TSH, ipsumdump (Text), NetFlow-Zusammenfassung (Text), Linux-Netzwerkgerät
• SCRUB-tcpdump
  • tcpdump / pcap, Netzwerkschnittstelle
• tcpanon
  • tcpdump / pcap
• tcpdpriv
  • tcpdump / pcap, Netzwerkschnittstelle
• tcpmkpub
  • tcpdump / pcap
• TCPurify
  • tcpdump / pcap, Netzwerkschnittstelle

Protokollierungs-Frameworks

Splunk

Splunk ist ein Protokolldateiaggregator. Splunk aggregiert Systemprotokolle wie Syslog an einem zentralen Ort, an dem sie analysiert werden können. Es bietet ein Tool zur Anonymisierung der gesammelten Daten.

Das Ausführen dieses Tools funktioniert wie folgt:

./splunk anonymize file -source </path/to/filename>

Die Anonymisierungsfunktion ist durchaus konfigurierbar. Weitere Informationen finden Sie hier .

syslog-ng Sie können das Protokollierungsframework syslog-ng selbst verwenden, um die Annonymisierung durchzuführen, wenn es sich um Daten handelt, die niemals in den Protokollen enthalten sein sollten.

Hier in diesem Blog-Beitrag gibt es ein interessantes Beispiel mit dem Titel: Linux: IP-Protokolle mit syslog-ng anonymisieren .

Die Idee ist ziemlich einfach:

Mit Syslog-NG können Sie Inhalte mit regulären Ausdrücken neu schreiben. Fügen Sie /etc/syslog-ng/syslog-ng.conf die folgenden zwei Umschreiberegeln hinzu, um IPv4- und IPv6-Adressen durch [ANONYMISIERT] und [ANONYMISIERT6] zu ersetzen. (Der reguläre Ausdruck für IPv6 wurde noch nicht ausführlich getestet.)

Mit der in syslog-ng integrierten Funktion rewriteund substkönnen Sie Folgendes tun:

rewrite r_ip {
subst('\b(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\b',
"\[REDACTED\]", value("MESSAGE"), type("pcre"), flags("global"));
}