Ip Adressen Anonymisierung wegen Datenschutz

arp2600

New Member
Hallo allerseits,

bei mir kommt gerade wieder die Frage nach Datenschutz - ob IP Adressen in Webserverlogs nun personenbezogene Daten sind oder nicht ist unter Juristen wohl nicht ganz geklärt.... Um trotzdem auf der sicheren Seite zu sein wäre es wohl sinnvoll die IP Adressen in den Logs zu anonymisieren, als zum Beispiel das letzte Oktett durch "0" zu ersetzen

es gibt wohl einige Ansätze in der Richtung - entweder ein modifiziertes Apache mod_log_config Modul (wobei ich vermeiden will nach jedem Update neu zu kompilieren) oder ein Script durch das die Logs gepiped werden.

Nachdem ISPConfig das vlogger Script verwendet um die Logs zu splitten würde ich gerne da ansetzen, ich traue mir wohl zu das da rein zu stricken - aber evtl. hat ja jemand eine andere Idee bzw. schon was in der Schublade?


Viele Grüsse, Michi
 

Till

Administrator
sehe auch keinen Grund (konkrete) IP Adressen mitzuloggen.

Wurde Deine website schon mal gehacked? Ich habe häufiger mal mit der Untersuchung von gehackten Websites im Kundenauftrag zu tun und da ist ein Log mit IP schon extrem hilfreich. Oder willst Du in dem Fall eines anonymisierten logs ggf. 256 Provider von denen 255 unschuldig sind anschreiben dass sie sich darum kümmern sollen den kompromittierten Server der Dich angegriffen hat, aber dessen IP Du nicht genau benennen kannst, vom Netz zu nehmen?

Datenschutz ist wichtig und Logdaten sollten natürlich nicht an dritte weiter gegeben werden oder sonstwie datenschutzwiedrig verwendet werden und nach angemessener zeit gelöscht werden, im admin Alltag sind sie aber sehr hilfreich.
 

florian030

Well-Known Member
Wenn Du die IPs nicht in den Logs haben willst, kannst Du dich gleich von fail2ban, dem BanDaemon etc. verabschieden. Beide lesen die Logs und bannen darüber die IP.
Du könntest natürlich in logrotate noch ein Script aufrufen, dass die IPs per sed o.ä. aus dem Log entfernt. Du darfst dann fail2ban nur nicht neu starten. Wie sich der BanDaemon verhält, kann @Croydon beantworten. Existierende Bans stehen in der DB, das ist also kein Problem. Wie sich das verhält, wenn die IP fehlt oder x.x.x.x ist, käme auf einen Versuch an.
Wenn Du nicht willst, dass in Logs für Kunden die IPs stehen, kannst Du ja auch die anonymisieren, ein global-access-log verwenden und das dann anonymisieren, löschen oder die IPs stehen lassen.

Denk aber auch daran, die Mailheader entsprechend anzupassen. Da stehen richtig viele IPs drin.
 

arp2600

New Member
Hallo,
also um das klar zu stellen - ich rede hier nur vom (Apache/Nginx) access_log! Das BGH beschäftigt sich ja auch nur mit der Frage ob Webzugriffe mit IP geloggt werden müssen..... das betrifft also auch nicht das error_log das klar dazu da ist Fehler etc zu lokalisieren!

Ich mache das Geschäft (Web - Serverhosting etc) nun schon seit über 20 Jahren, früher haben wir Logfiles auf CDs gebrannt und archiviert..... gebraucht habe ich das in Wirklichkeit nie. Ich habe oft mit Einbrüchen/Einbruchsversuchen auf Servern zu tun gehabt - eine IP im access_log die sowieso von einem (vermutlich auch kompromitterten) Server oder Botnetz aus irgendeinem "fernen" Land kommt hat mich noch nie wirklich interessiert - es reicht den Adressraum einem Provider zuordnen zu können.

Bei einem Mailserver würde ich nie auf die Idee kommen IP Adressen im Log zu anonymisieren!


Viele Grüsse, Michi
 

Croydon

Super-Moderator
also um das klar zu stellen - ich rede hier nur vom (Apache/Nginx) access_log! Das BGH beschäftigt sich ja auch nur mit der Frage ob Webzugriffe mit IP geloggt werden müssen..... das betrifft also auch nicht das error_log das klar dazu da ist Fehler etc zu lokalisieren!
Da widerspreche ich eindeutig. Für das Nachvollziehen von Angriffen ist das access_log unerlässlich. Längst nicht jeder erfolgreiche oder erfolglose Versuch schmeißt einen Fehler, es sind oftmals ganz simple POST requests auf bestimmte URLs. Die access_log zu deaktivieren ist ein Albtraum für das Nachvollziehen von Einfallstoren und führt die Nutzung von fail2ban und dem ispp bandaemon etc. ad absurdum.

Die Zuordnung eines Adressraums zu einem Provider reicht mitnichten. Es ist längst nicht mehr so, dass ein 256er Adressraum nur einem Provider gehört (Stichwort Knappheit von IPs). Zudem ist ein Provider auch daran interessiert, spezifische Quellen zu identifizieren/abzuschalten, da bringt ein Hinweis auf einen riesigen IP-Bereich nichts, wird vermutlich sogar noch eher ignoriert als eine spezielle IP.
 

florian030

Well-Known Member
Das BGH beschäftigt sich ja auch nur mit der Frage ob Webzugriffe mit IP geloggt werden müssen..... das betrifft also auch nicht das error_log das klar dazu da ist Fehler etc zu lokalisieren!

Wenn, dann befasst sich der BGH mit der Frage, ob IP-Adressen gespeichert werden dürfen. Von müssen ist nicht die Rede.
Könntest Du mir mal erklären, warum ausgerechnet im error.log IPs wichtig sind? Ich brauche keine IP, um einen Fehler zu lokalisieren. Wenn ich aber zB 2.000 404er innerhalb kürzster Zeit im access.log finde, dann ist das schon sehr verdächtig. Ich habe einen Kunden, bei dem wurde der Server mit 404er nur so überrannt.

Ich halte es für zwingende erforderlich, in den Logs des Servers die IPs zu haben. Und zwar alle. Ob man die gefiltert für Statistiken nimmt oder nicht, kann man durchaus diskutieren.

Was ich nicht verstehe: Du willst die IP des Nutzers nicht im Web-Log, hast aber kein Problem damit, dass genau diese IP im Header einer Mail steht?
 

Werbung

Top