如果将日志文件、错误消息等作为屏幕截图发布,应该从日志文件、错误消息等中删除哪些数据,以免泄露敏感信息?
缩小我的问题范围:Linux 用户在发布日志文件、错误消息、设置等的屏幕截图时应该特别注意隐藏什么?
答案1
这是一个范围广泛的问题,可能只能用同样的笔触来回答。最终,这取决于您(用户)希望保护的内容。
从根本上讲,您不应发布任何可能让其他人更容易破坏您的系统或您使用的任何其他连接工具或帐户的内容。因此,您应该考虑:
- 清除您发布的任何材料中的所有密码
- 隐藏您的 IP 地址
- 更改您向网络开放的端口的详细信息
- 删除有关您的 ISP 的详细信息
- 如果您不想吸引(更多)垃圾邮件,请编辑您的个人电子邮件地址
- 更改或删除 MAC 地址等硬件标识符
真正的风险不一定是个别信息(除了您的密码,尤其是您重复使用的密码,但您当然不会这样做),但总的来说,一些不法分子可以花费一些时间和精力来拼凑1 .
当然,这不仅仅与技术或您的系统有关;还与您的系统有关。更广泛地解释,您可能还希望考虑其他预防措施。
如果您重视自己和家人的隐私,那么您可能需要采取额外的措施来确保只有您愿意接受的个人信息才会进入公共领域;例如,您的地理位置、法定全名、照片或进一步的身份信息都可能构成可用于身份盗窃或其他邪恶活动的材料。
这些其他方面的信息不太可能包含在屏幕截图或日志文件中,但如果它们已经通过其他方式(例如社交网站等)在线,那么它确实会增加漏洞的表面,无论如何,您应该是有意识的至少是这样的。
1. 偏执的标准水平正在应用......
答案2
基本规则应该是只公开必要的信息。
所以这里适用基本的安全规则:
- 仅根据需要提供尽可能多的访问/信息
- 其他任何内容都应该被禁止/不可读
正如您从此处提出的许多问题中看到的那样 - 如果需要,评论将要求提供更多信息。但是,您可以自行决定是否隐藏有关此问题不需要的个人或技术细节的个人信息。
答案3
添加到其他两个(很好的)答案中,也很好地认识到因素分离的过程对于良好的测试/故障排除非常重要,在某种程度上与删除敏感信息的行为有关。
换句话说,只要有可能,总是尝试在单独的环境中复制您的问题。除了排除(通常最终会出现)不相关信息并帮助您找到根本原因之外,它还可以向实验室隐藏您的生产环境。
更具体的例子:
创建和使用另一个测试帐户(之后别忘了删除)
如果你有足够的计算能力,请保留测试虚拟机,甚至是手头的虚拟网络并在那里复制问题。这甚至可以为您带来快照的巨大优势。
在这些环境下,倾向于命名诸如“foo”、“bar”、“me”、“here”之类的东西。在许多情况下,这将表明该信息几乎没有价值或没有价值
通过这种方式进行实验(同时仍然尊重其他两篇文章中所说的),您会发现与实际相关的信息要少得多需要首先要发布,反过来,需要隐藏的信息也会少得多。
答案4
只需补充其他答案,向您展示日志中要匿名化的内容类型,我想我会提供可用于帮助促进日志匿名化的工具列表。
TCPDUMP/pcap
该列表主要是处理 tcpdump/pcap 日志的工具。笔记:完整的工具和库的列表在这里。
- 匿名工具
- tcpdump 格式或实时接口上的 Netflow(v5 和 v9)跟踪
- 珊瑚礁
- 网络接口; DAG、FORE 和 POINT 采集卡; CoralReef (.crl)、tcpdump/pcap、DAG(旧版和 ERF)或 TSH (.tsh) 格式的跟踪文件
- ipsum转储
- tcpdump/pcap、DAG(旧版和 ERF)、FR、FR+、TSH、ipsumdump(文本)、NetFlow 摘要(文本)、linux 网络设备
- SCRUB-tcpdump
- tcpdump/pcap,网络接口
- 特帕农
- tcpdump/pcap
- tcpdpriv
- tcpdump/pcap,网络接口
- tcpmkpub
- tcpdump/pcap
- TCP净化
- tcpdump/pcap,网络接口
日志框架
斯普朗克
斯普朗克是一个日志文件聚合器。 Splunk 将系统日志(例如 syslog)聚合到可以分析的集中位置。它提供了一种对其收集的数据进行匿名化的工具。
运行该工具的工作原理如下:
./splunk anonymize file -source </path/to/filename>
匿名功能是非常可配置的,您可以在这里阅读更多相关信息。
系统日志 您实际上可以使用日志记录框架,系统日志,如果数据本来就不应该出现在日志中,那么它本身就会进行匿名化。
这篇博客文章中有一个有趣的例子,标题为:Linux:使用 syslog-ng 对 IP 日志进行匿名化。
这个想法很简单:
Syslog-NG 允许您使用正则表达式重写内容。将以下两条重写规则添加到 /etc/syslog-ng/syslog-ng.conf,以将 IPv4 和 IPv6 地址替换为 [REDACTED] 和 [REDACTED6]。 (IPv6 的正则表达式尚未经过广泛测试)。
通过使用syslog-ng 内置的rewrite
功能subst
,您可以执行如下操作:
rewrite r_ip {
subst('\b(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\.(1?[0-9]{1,2}|2[0-4][0-9]|25[0-5])\b',
"\[REDACTED\]", value("MESSAGE"), type("pcre"), flags("global"));
}