Dữ liệu nào nên được loại trừ khỏi tệp nhật ký, thông báo lỗi, vv nếu được đăng trực tuyến?

7

Dữ liệu nào nên xóa khỏi tệp nhật ký, thông báo lỗi, v.v., nếu đăng chúng dưới dạng ảnh chụp màn hình để không làm lộ thông tin nhạy cảm?

Để thu hẹp câu hỏi của tôi : Người dùng Linux cần lưu ý thêm về việc ẩn nếu đăng ảnh chụp màn hình của logfiles, thông báo lỗi, cài đặt, v.v.?

linux  security  logs  error-handling  screenshot 
ế
nguồn
Là câu hỏi của bạn nhắm vào khu vực cá nhân tư nhân hoặc khu vực làm việc?
Nils
Sẽ thật tốt khi tập trung vào những gì cả khu vực tư nhân và cá nhân có điểm chung.
erch

Câu trả lời:

8

Đây là một câu hỏi khác nhau và có lẽ chỉ có thể được trả lời với cùng một kiểu đánh. Cuối cùng, nó thuộc về những gì bạn, người dùng, muốn bảo vệ.

Về cơ bản, bạn không nên đăng bất cứ điều gì cho phép người khác thấy dễ dàng thỏa hiệp hệ thống của bạn hoặc bất kỳ công cụ hoặc tài khoản được kết nối nào khác mà bạn sử dụng. Vì lý do này, bạn nên xem xét:

  • Xóa bất kỳ mật khẩu từ bất kỳ tài liệu mà bạn đăng
  • Che khuất địa chỉ IP của bạn
  • Thay đổi chi tiết về các cổng bạn mở lên mạng
  • Xóa chi tiết về ISP của bạn
  • Xác định lại địa chỉ email cá nhân của bạn nếu bạn không muốn thu hút (thêm) thư rác
  • Thay đổi hoặc xóa định danh phần cứng như địa chỉ MAC

Rủi ro thực sự không nhất thiết là xung quanh từng mẩu thông tin riêng lẻ (ngoại trừ, có lẽ, trong trường hợp mật khẩu của bạn, đặc biệt nếu đó là mật khẩu mà bạn sử dụng lại, nhưng dĩ nhiên bạn sẽ không làm điều đó), nhưng trong tổng hợp đó một số malefactor có thể ghép lại với nhau với thời gian và nỗ lực 1 .

Tất nhiên, nó không chỉ là về công nghệ hay hệ thống của bạn; giải thích rộng hơn, có những biện pháp phòng ngừa khác mà bạn có thể muốn xem xét.

Nếu bạn coi trọng quyền riêng tư của bạn và của gia đình bạn, thì bạn sẽ muốn thực hiện các bước bổ sung để đảm bảo rằng chỉ những thông tin cá nhân mà bạn cảm thấy thoải mái mới được đưa vào phạm vi công cộng; ví dụ: vị trí địa lý của bạn, tên pháp lý đầy đủ, ảnh hoặc thông tin nhận dạng khác đều có thể tạo thành tài liệu có thể được sử dụng để đánh cắp danh tính hoặc hoạt động bất chính khác.

Các khía cạnh thông tin khác này khó có thể được đưa vào ảnh chụp màn hình hoặc logfiles, nhưng nếu chúng đã trực tuyến thông qua các phương tiện khác, chẳng hạn như các trang mạng xã hội và tương tự, thì nó sẽ làm tăng tính dễ bị tổn thương và trong mọi trường hợp, bạn nên có ý thức về hồ sơ đó, ở mức tối thiểu.

1. Mức độ hoang tưởng tiêu chuẩn đang được áp dụng ...

jasonwryan
nguồn
2

Các quy tắc cơ bản nên được chỉ để lộ thông tin cần thiết.

Vì vậy, ở đây các quy tắc bảo mật cơ bản được áp dụng:

  1. Chỉ có càng nhiều truy cập / thông tin cần thiết
  2. Bất cứ điều gì khác nên bị cấm / không thể đọc được

Như bạn có thể thấy từ nhiều câu hỏi được hỏi ở đây - ý kiến ​​sẽ hỏi thêm thông tin, nếu cần. Nhưng nó là tùy thuộc vào bạn để che giấu thông tin cá nhân về các cá nhân hoặc về các chi tiết kỹ thuật không cần thiết cho vấn đề này.

Nils
nguồn
2

Thêm vào hai câu trả lời (tuyệt vời) khác, cũng tốt để nhận ra rằng quá trình phân tách nhân tố, rất quan trọng để kiểm tra / xử lý sự cố tốt, bằng cách nào đó có liên quan đến hành động xóa thông tin nhạy cảm.

Nói cách khác, bất cứ khi nào có thể, luôn cố gắng tái tạo vấn đề của bạn trong một môi trường riêng biệt. Ngoài lợi thế của việc loại trừ (thường xuất hiện dưới dạng) thông tin không liên quan và giúp bạn tìm ra nguyên nhân gốc rễ, nó cũng có thể che giấu môi trường sản xuất của bạn khỏi phòng thí nghiệm.

Ví dụ cụ thể hơn:

  • tạo và sử dụng tài khoản thử nghiệm khác (đừng quên xóa nó sau đó)

  • nếu bạn có đủ sức mạnh tính toán, hãy giữ một máy ảo thử nghiệm hoặc thậm chí là một mạng ảo trong tay và tái tạo vấn đề ở đó. Điều này thậm chí có thể cung cấp cho bạn lợi thế rất lớn của ảnh chụp nhanh.

  • trong các môi trường này, có xu hướng đặt tên những thứ như "foo", "bar", "tôi", "đây". Trong nhiều trường hợp, điều này sẽ làm cho nó nổi bật rằng thông tin ít hoặc không có giá trị

Bằng cách thử nghiệm theo cách này (trong khi vẫn tôn trọng những gì được nói trong hai bài đăng khác), bạn sẽ phát hiện ra rằng có rất ít thông tin có liên quan đủ để thực sự cần phải được đăng ở vị trí đầu tiên, và đến lượt nó có ít thông tin còn lại để che giấu.

Alois Mahdal
nguồn
2

Chỉ cần bổ sung các câu trả lời khác cho bạn biết những loại điều cần ẩn danh trong nhật ký mà tôi nghĩ tôi sẽ cung cấp một danh sách các công cụ có thể được sử dụng để giúp tạo điều kiện cho việc ẩn danh nhật ký.

TCPDUMP / pcap

Danh sách này chủ yếu là các công cụ để xử lý các bản ghi tcpdump / pcap. LƯU Ý: Danh sách đầy đủ các công cụ và thư viện ở đây .

  • AnonTool
    • Dấu vết Netflow (v5 và v9) ở định dạng tcpdump hoặc trên giao diện trực tiếp
  • San hô
    • giao diện mạng; Thẻ chụp DAG, FORE và POINT; các tệp theo dõi ở các định dạng CoralReef (.crl), tcpdump / pcap, DAG (legacy và ERF) hoặc TSH (.tsh)
  • ipsumdump
    • tcpdump / pcap, DAG (di sản và ERF), FR, FR +, TSH, ipsumdump (văn bản), tóm tắt NetFlow (văn bản), thiết bị mạng linux
  • SCRUB-tcpdump
    • tcpdump / pcap, giao diện mạng
  • tcpanon
    • tcpdump / pcap
  • tcpdpriv
    • tcpdump / pcap, giao diện mạng
  • tcpmkpub
    • tcpdump / pcap
  • TCPurify
    • tcpdump / pcap, giao diện mạng

Khung đăng nhập

Splunk

Splunk là một tập hợp tệp nhật ký. Splunk tổng hợp các bản ghi hệ thống như syslog vào một vị trí tập trung nơi nó có thể được phân tích. Nó cung cấp một công cụ để ẩn danh dữ liệu mà nó thu thập được.

Chạy công cụ này hoạt động như sau:

./splunk anonymize file -source </path/to/filename>

Các chức năng ẩn danh là khá cấu hình, bạn có thể đọc thêm về nó ở đây .

syslog-ng Bạn thực sự có thể sử dụng khung ghi nhật ký , syslog-ng , chính nó để thực hiện việc đồng nghĩa hóa nếu đó là dữ liệu không bao giờ có trong nhật ký để bắt đầu.

Có một ví dụ thú vị về điều này ở đây trong bài đăng trên blog này có tiêu đề: Linux: Ẩn danh nhật ký IP bằng syslog-ng .

Y tưởng nay đơn giản qua:

Syslog-NG cho phép bạn viết lại nội dung bằng các biểu thức thông thường. Thêm hai quy tắc viết lại sau vào /etc/syslog-ng/syslog-ng.conf để thay thế địa chỉ IPv4 và IPv6 bằng [REDACTED] và [REDACTED6]. (regrec cho IPv6 chưa được thử nghiệm rộng rãi).

Bằng cách sử dụng rewritesubstchức năng được xây dựng trong syslog-ng, bạn có thể làm một cái gì đó như thế này:

rewrite r_ip {
subst('\b(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\b',
"\[REDACTED\]", value("MESSAGE"), type("pcre"), flags("global"));
}
SLM
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.