Debian 12 effacer toutes ses traces. Le sujet est résolu

[lol]

Salut,

J'ai besoin d'effacer toutes traces et de stopper l'enregistrement des IPs qui permettraient à quelqu'un de remonter vers les utilisateurs d'une machine.


Pour la partie Serveur Web, c'est facile: Log off... suivi de

Code : Tout sélectionner

 shred -zxuvf /var/log/nginx/access*

Pour les administrateurs je ne trouve rien sur ne Net qui puisse m'aider avec Systemd (Ou j'ai mal cherché...).
Pouvez-vous me dire ce qu'il faudrait que je fasse pour effacer tous les logs de connexion (SSH, SFTP, SCP, etc) ET pour arrêter de les enregistrer ?

Bien entendu je conserve les logs d'erreur, ils sont utilisés par Fail2ban et Crowdsec et ce sont des IPs de nuisibles, donc pas de soucis...

Merci.

[piratebab]

a part effacer manuellement pour chaque application, je ne vois pas.
Est ce que ce n'est pas plus rapide de tout effacer et tout réinstaller ?

[lol]

a part effacer manuellement pour chaque application, je ne vois pas.
Est ce que ce n'est pas plus rapide de tout effacer et tout réinstaller ?

Salut,
Non, la machine est en prod.
J'ai trouvé comment effacer certaines chose quand je me délogue grâce au fichier ~/.bash_logout

Mais avec Systemd ça se complique et j'avoue être à court d'idées...
Par exemple je ne sais pas comment faire pour vider le base de donnée de Lastlog et désactiver le logging des connexions SSH...

Help...

[vv222]

Tu peux régler la durée de persistance des entrées dans journald, est-ce que ça ne remplirait pas ton besoin ? C’est un besoin un peu inhabituel, mais tu peux par exemple dire à journald d’effacer tout entrée plus ancienne qu’une journée, qu’une heure… ou même qu’une seconde.

cf. "MaxRetentionSec" dans journald.conf(5)

[lol]

Tu peux régler la durée de persistance des entrées dans journald, est-ce que ça ne remplirait pas ton besoin ? C’est un besoin un peu inhabituel, mais tu peux par exemple dire à journald d’effacer tout entrée plus ancienne qu’une journée, qu’une heure… ou même qu’une seconde.

cf. "MaxRetentionSec" dans journald.conf(5)

Merci vv222.
Oui c'est inhabituel puisqu'en principe ou souhaite conserver les logs. Et j'avoue que m'occuper du serveur sans avoir d'historique ça complique un peu les choses... Mais c'est la demande.
Le problème avec ce que tu proposes, c'est que ça ne fait pas la différence entre les différents journaux, si ?

Je souhaite seulement désactiver le logging de certains actions (SSH, etc.) et non désactiver complètement les logs de la machine (J'ai besoin des logs système et apt par exemple).

[vv222]

Je confirme que ça ressemble à un réglage global. Si ça peut se faire par "unit"/service ce serait l’idéal, mais il faudrait faire le tour de la doc du machin pour savoir si/comment ça peut se configurer.

(j’espère que celui qui demande ça n’est pas en France, sinon je crois que c’est illégal de ne pas conserver ces logs)

[lol]

Je confirme que ça ressemble à un réglage global. Si ça peut se faire par "unit"/service ce serait l’idéal, mais il faudrait faire le tour de la doc du machin pour savoir si/comment ça peut se configurer.

C'est ce que craignais...
Je vais encore chercher et lire donc.
Le net n'est pas d'une grande aide sur ce coup...

(j’espère que celui qui demande ça n’est pas en France, sinon je crois que c’est illégal de ne pas conserver ces logs)

Le serveur n'est pas en Europe.
Il s'agit d'un service privé, rien d'illégal. De mon côté l'anonymisation m'intéresse pour le challenge.
Je vais me pencher sur les commandes pour vider les journaux en question.
La commande ~/.logout_bash fait très bien le job.
Elle est même très pratique, j'aurais dû la trouver avant...

[lol]

Salut,
Je suis parvenu à mes fins... Un peu à la sauvage, mais bon...

Attention, commandes dangereuses et qui de plus peuvent être illégales dans certains pays.

Effacer d'abord l'historique:

Code : Tout sélectionner

shred -zxuvf /var/log/wtmp*
shred -zxuvf /var/log/btmp*
touch /var/log/wtmp
touch /var/log/btmp

Ce qui donne bien ce que je souhaite.

Code : Tout sélectionner

$  last

wtmp commence Fri Dec  8 08:00:16 2023

Code : Tout sélectionner

journalctl -u ssh.service --flush --rotate
journalctl -u ssh.service --vacuum-time=1s

Code : Tout sélectionner

# journalctl -u ssh.service
-- No entries --

Il reste lastlog...

Code : Tout sélectionner

lastlog --clear --user root

Code : Tout sélectionner

# lastlog
Username         Port     From                                       Latest
root                                                                **Never logged in**

[dezix]

Attention, commandes dangereuses et qui de plus peuvent être illégales dans certains pays.

Sujet ajouté aux Favoris

[lol]

Attention, commandes dangereuses et qui de plus peuvent être illégales dans certains pays.

Sujet ajouté aux Favoris

Vilain!

[vv222]

Ah, parfait ! On est d’accord que journalctl -u ssh.service --vacuum-time=1s c’est ce qu’on évoquait un peu plus haut, un réglage de la durée de la rétention des logs pour un service donné plutôt que globalement ?

[lol]

Ah, parfait ! On est d’accord que journalctl -u ssh.service --vacuum-time=1s c’est ce qu’on évoquait un peu plus haut, un réglage de la durée de la rétention des logs pour un service donné plutôt que globalement ?

Oui, exactement.
Il suffit de préciser le service/journal (S'il existe).

[PascalHambourg]

J'ai trouvé comment effacer certaines chose quand je me délogue grâce au fichier ~/.bash_logout

A condition d'utiliser bash comme interpréteur de connexion (login shell).

shred -zxuvf /var/log/wtmp*

Attention : comme indiqué dans la page de manuel de shred, l'écrasement suppose que le système de fichiers écrit les nouvelles données au même emplacement que les anciennes, ce qui n'est pas garanti avec tous les systèmes de fichiers, notamment ceux qui font du copy-on-write comme btrfs ou sont structurés en log comme f2fs. Certes les données ne sont plus lisibles dans le fichier, mais elles peuvent rester lisibles sur le support de stockage.

[lol]

Bonjour,

shred -zxuvf /var/log/wtmp*

Attention : comme indiqué dans la page de manuel de shred, l'écrasement suppose que le système de fichiers écrit les nouvelles données au même emplacement que les anciennes, ce qui n'est pas garanti avec tous les systèmes de fichiers, notamment ceux qui font du copy-on-write comme btrfs ou sont structurés en log comme f2fs. Certes les données ne sont plus lisibles dans le fichier, mais elles peuvent rester lisibles sur le support de stockage.

Merci pour ta remarque PascalHambourg.
Tu as raison et je crois que c'est aussi valable pour la commande wipe.

Mon FS est ext4 et je ne sais pas ce qu'il y a dessous (VM dans un datacenter).
Mais du coup pour aller fouiller dans les disques il faudrait tout arrêter, non ? Je ne penses pas qu'on en arrive la...

Tu penses a une alternative plus sûre que shred ou wipe pour mon cas ?

[PascalHambourg]

Avant tout, contre quelles menaces cherches-tu à te protéger ?

[lol]

Bonjour,

Avant tout, contre quelles menaces cherches-tu à te protéger ?

Qu'on puisse remonter à mon IP si le serveur tombe entre de mauvaises mains...

[PascalHambourg]

Qu'entends-tu par "tombe entre de mauvaises mains" ? Jusqu'à quel niveau ?

[piratebab]

Un disque dur volé et revendu sur le bon coin ?
C'est déja arrivé, voir une video de micode

[lol]

Qu'entends-tu par "tombe entre de mauvaises mains" ? Jusqu'à quel niveau ?

NSA ?

[PascalHambourg]

C'était une question sérieuse...