8
Loging komplett abschalten
Hallo Leute!
Ich habe in meinem Netz einen Debian Lenny Server, welcher 2 Festplatten hat. Eine für das Betriebssystem, und eine andere für Daten. Die Daten-Platte ist mit dm-crypt verschlüsselt. soviel zum Hintergrund...
Wie kann ich bei Debian komplett das loging abgewöhnen? Es sollen also weder Systemlogs noch Logs von Diensten erstellt werden. Bei den Diensten ist ja relativ einfach, weil man in den configs einfach das loglevel auf minimum setzt. Aber wie ist es mit den Betriebssystemeigenen Logdateien? z.B. dieses /var/messages etc. Ich möchte das einfach garnix mehr aufgezeichnet wird, nichmal die bash-history... irgendwelche tipps? oder dinge die ich beachten sollte?
Ich habe in meinem Netz einen Debian Lenny Server, welcher 2 Festplatten hat. Eine für das Betriebssystem, und eine andere für Daten. Die Daten-Platte ist mit dm-crypt verschlüsselt. soviel zum Hintergrund...
Wie kann ich bei Debian komplett das loging abgewöhnen? Es sollen also weder Systemlogs noch Logs von Diensten erstellt werden. Bei den Diensten ist ja relativ einfach, weil man in den configs einfach das loglevel auf minimum setzt. Aber wie ist es mit den Betriebssystemeigenen Logdateien? z.B. dieses /var/messages etc. Ich möchte das einfach garnix mehr aufgezeichnet wird, nichmal die bash-history... irgendwelche tipps? oder dinge die ich beachten sollte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 112285
Url: https://administrator.de/contentid/112285
Printed on: April 23, 2024 at 07:04 o'clock
8 Comments
Latest comment
Du kannst einfach nen Symlink von /var/log auf /dev/null packen - thema erledigt.
Ob es Sinn macht die Log-Files gleich zu löschen ist eine andere Sache -> dies musst du dann selbst entscheiden... Du verlierst halt die Option eine Fehlfunktion deines Systems oder evtl. vorhandene Angriffsversuche zu sehen...
Ob es Sinn macht die Log-Files gleich zu löschen ist eine andere Sache -> dies musst du dann selbst entscheiden... Du verlierst halt die Option eine Fehlfunktion deines Systems oder evtl. vorhandene Angriffsversuche zu sehen...
hm...kannst du mir sagen wie der symlink befehl aussehen könnte? ich glaube "ln" ist der befehl...welche parameter muss ich übergeben?
naja fehlfunktionen sind mir egal... ist kein wichtiges system... und wegen der sicherheit mach ich mir keine gedanken, der server ist nur intern erreichbar, und steht hinter zwei hardware firewalls + IDS
naja fehlfunktionen sind mir egal... ist kein wichtiges system... und wegen der sicherheit mach ich mir keine gedanken, der server ist nur intern erreichbar, und steht hinter zwei hardware firewalls + IDS
erstmal den inhalt von /var/log löschen, dann mittels
ln -s /var/log /dev/null
den link erstellen
ln -s /var/log /dev/null
den link erstellen
Hallo unheilig666,
Logfiles abschalten ist so eine Sache...
"...naja fehlfunktionen sind mir egal... ist kein wichtiges system... " --> ok
"...Die Daten-Platte ist mit dm-crypt verschlüsselt..." --> bei einem unwichtigen System?
"...steht hinter zwei hardware firewalls + IDS..." --> bei einem unwichtigen System?
Klingt für mich nach
a) Höchstsensible Daten, dann kann das Löschen der Logfiles tödlich sein.
b) Illegalen Inhalten, dann wärst Du hier im Forum falsch.
Gruß,
Martin
Logfiles abschalten ist so eine Sache...
"...naja fehlfunktionen sind mir egal... ist kein wichtiges system... " --> ok
"...Die Daten-Platte ist mit dm-crypt verschlüsselt..." --> bei einem unwichtigen System?
"...steht hinter zwei hardware firewalls + IDS..." --> bei einem unwichtigen System?
Klingt für mich nach
a) Höchstsensible Daten, dann kann das Löschen der Logfiles tödlich sein.
b) Illegalen Inhalten, dann wärst Du hier im Forum falsch.
Gruß,
Martin
ich denke a.) und b.) wäre richtig... das ist ein home-server wo auch private daten drauf gespeichert werden; jenachdem was diese beinhalten können sie illegal und/oder sesibel sein... das geht mich als admin aber nix an, was die user im homedir speichern; und ich werde das auch nicht durchsuchen!
hier sind alle clients auf windows und mit truecrypt vollverschlüsselt; backups werden lokal auf externe platten gemacht, welche auch vollverschlüsselt sind (das meinte ich mit unwichtiges system; da der ausfall keinen datenverlust nach sich zieht)... der server dient zum dateiaustausch... allerdings bringt die verschlüsselung dort nix, weil der server wahrscheinlich mitlogt - z.b. welcher user zugegriffen hat, welche dateioperationen durchgeführt wurden, etc.
und genau das will ich verhindern... eine vollverschlüsselung bei einem server ist relativ witzlos, da ich nach jedem neustart hinlaufen, tastatur und moni anklemmen müsste, um dann das PW einzugeben... daher kommt nur in frage, das logging zu deaktivieren...
(eine KVM over Eth lösung ist keine option - zu teuer)
hier sind alle clients auf windows und mit truecrypt vollverschlüsselt; backups werden lokal auf externe platten gemacht, welche auch vollverschlüsselt sind (das meinte ich mit unwichtiges system; da der ausfall keinen datenverlust nach sich zieht)... der server dient zum dateiaustausch... allerdings bringt die verschlüsselung dort nix, weil der server wahrscheinlich mitlogt - z.b. welcher user zugegriffen hat, welche dateioperationen durchgeführt wurden, etc.
und genau das will ich verhindern... eine vollverschlüsselung bei einem server ist relativ witzlos, da ich nach jedem neustart hinlaufen, tastatur und moni anklemmen müsste, um dann das PW einzugeben... daher kommt nur in frage, das logging zu deaktivieren...
(eine KVM over Eth lösung ist keine option - zu teuer)
Hi,
- Du sagst selbst, dass es wahrscheinlich illegale Inhalte sind
- Du hilfst auf diese Art und Weise, eine Straftat zu verschleiern
- Du sagst, DAS sei Dir als Admin egal (bzw. geht Dich nichts an)
- Und Du erwartest jetzt auch noch Hilfe?
=> Du bist hier falsch.
Hoffentlich findet ein Moderator ganz schnell diesen Thread und verschiebt ihn dorthin, wo er hingehört.
- Du sagst selbst, dass es wahrscheinlich illegale Inhalte sind
- Du hilfst auf diese Art und Weise, eine Straftat zu verschleiern
- Du sagst, DAS sei Dir als Admin egal (bzw. geht Dich nichts an)
- Und Du erwartest jetzt auch noch Hilfe?
=> Du bist hier falsch.
Hoffentlich findet ein Moderator ganz schnell diesen Thread und verschiebt ihn dorthin, wo er hingehört.
Zitat von @39916:
zunächsteinmal weis ich nicht in welche illegalen machenschaften meine familienmitglieder verstrickt sind; ich hoffe ja mal in keine... desweiteren bist du ja echt lustig! ich darf als admin weder die mails der user lesen, noch ihre daten einsehen! wenn man sich in einem administrator-forum anmeldet, sollte man das schon wissen! hauptsache mal nen' großes faß aufgemacht *kopfschüttel*
Also - ganz so einfach wie du es dir machst ist es auch nicht - du bist schon als Admin auch verantwortlich welche Daten auf deinem Server liegen... Wobei bei einer evtl. Kontrolle da der Nachweis erbracht werden kann das die nicht von dir sind - sondern im pers. Verzeichnis der User liegen.
Zum Thema: Das abschalten der Log-Funktionen bringt dir rein gar nichts!
a) Wenn dein System verschlüsselt ist musst du zum Start immernoch den Key eingeben - da ja nicht nur die Log-Files sondern auch die Datenplatten verschlüsselt wären (sofern du mit einem verschlüsselten Dateisystem arbeitest). DAS hat mit den Log-Files nix zu tun!
b) In den Log-Files die unter /var/log stehen wird ganz sicher nicht jede Dateioperation aufgezeichnet. Das wäre bei einem Fileserver der overkill -> das ding würde durchglühen (selbst bei nem mittelgroßen Webserver/Mailserver würden die Dateien explodieren!). In den Logfiles steht z.B. wer versucht hat sich auf der Konsole anzumelden. GRADE wenn ihr soviel Wert auf Sicherheit und Vertraulichkeit legt ist es für dich unerheblich wer sich da versucht anzumelden, wer ggf. versucht root-Rechte zu bekommen, ob da irgendwelche Prozesse "fremdgestartet" werden?!? Nicht nachvollziehbar!
c) Die Logfiles die du meinst (so du die meinst!) sind im Dateisystem (das sog. Journal - daher auch Journaling File-System). HIER steht drin welche Operationen auf eine Datei ausgeführt wurden, wie sich INODES verändert haben usw... Diese Protokoll zu löschen wäre allerdings (sofern möglich - k.a. ob das geht) das dümmste was du machen kannst -> bei einem Absturz/Neustart/whatever ist dann nämlich dein ganzes Dateysystem im Eimer (ok, die Daten sind dann sicher -> allerdings kannst du dann auch gleich das Home-Verzeichnis nach /dev/null mounten, das hat etwa denselben effekt)
Zum Thema: Das abschalten der Log-Funktionen bringt dir rein gar nichts!
a) Wenn dein System verschlüsselt ist musst du zum Start immernoch den Key eingeben - da ja nicht nur die Log-Files sondern auch die Datenplatten verschlüsselt wären (sofern du mit einem verschlüsselten Dateisystem arbeitest). DAS hat mit den Log-Files nix zu tun!
b) In den Log-Files die unter /var/log stehen wird ganz sicher nicht jede Dateioperation aufgezeichnet. Das wäre bei einem Fileserver der overkill -> das ding würde durchglühen (selbst bei nem mittelgroßen Webserver/Mailserver würden die Dateien explodieren!). In den Logfiles steht z.B. wer versucht hat sich auf der Konsole anzumelden. GRADE wenn ihr soviel Wert auf Sicherheit und Vertraulichkeit legt ist es für dich unerheblich wer sich da versucht anzumelden, wer ggf. versucht root-Rechte zu bekommen, ob da irgendwelche Prozesse "fremdgestartet" werden?!? Nicht nachvollziehbar!
c) Die Logfiles die du meinst (so du die meinst!) sind im Dateisystem (das sog. Journal - daher auch Journaling File-System). HIER steht drin welche Operationen auf eine Datei ausgeführt wurden, wie sich INODES verändert haben usw... Diese Protokoll zu löschen wäre allerdings (sofern möglich - k.a. ob das geht) das dümmste was du machen kannst -> bei einem Absturz/Neustart/whatever ist dann nämlich dein ganzes Dateysystem im Eimer (ok, die Daten sind dann sicher -> allerdings kannst du dann auch gleich das Home-Verzeichnis nach /dev/null mounten, das hat etwa denselben effekt)
