Unterschiede zwischen den Revisionen 11 und 12

Diese Seite beschreibt die Konfiguration verschiedener Webdienste mit dem Blick auf die Privatsphäre der jeweiligen Nutzer*innen. Pfadangaben und änhliches beziehen sich auf eine Debian-Jessie-Installation.

Inhaltsverzeichnis

ejabberd
Horde
nginx
Postfix
1. Mailheader
2. Logging
Fussnoten, Hinweise

ejabberd

Ejabberd ist ein häufig genutzter Jabber/XMPP-Server. Seit Version 15.06 lässt sich das Logging so einstellen, dass keine sensiblen Daten erhoben werden. Dazu /etc/ejabberd/ejabberd.yml bearbeiten:

hide_sensitive_log_data: true

Horde

Jeder ausgehenden Mail fügt Horde einen Header-Eintrag mit der aktuellen IP-Adresse hinzu, die die Horde-Session gestartet hat. Dies kann recht einfach geändert werden - siehe

nginx

access.log anonymisieren

Nginx legt standardmäßig die Datei /var/log/nginx/access.log an, in der alle Anfragen inkl. der jeweiligen IP gespeichert werden. Nun gibt es mehrere Möglichkeiten, das Verhalten zu beeinflussen - dazu muss jeweils die Datei /etc/nginx/nginx.conf im Abschnitt http bearbeitet werden:

Logging deaktivieren:
```
access_log off;
```

IP-Adresse durch Platzhalten [ip-addr] ersetzen¹:

log_format noip '[ip-addr] - $remote_user [$time_local]  '
                '"$request" $status $body_bytes_sent '
                '"$http_referer" "$http_user_agent"';

access_log /var/log/nginx/access.log noip;

error.log anonymisieren

Das Format der Datei /var/log/nginx/error.log kann nicht beeinflusst werden. Sofern der error-Log nicht deaktiviert werden soll², lassen sich die IP-Adressen per sed anonymisieren. Ein cron-Job mit dem folgenden Kommando könnte diese Aufgabe regelmäßig übernehmen:

sed 's/\([0-9]\{1,3\}\.\)\{3,3\}[0-9]\{1,3\}/x.x.x.x/g' -i /var/log/nginx/error.log

Es ist auch möglich, nginx entsprechend zu patchen.

let's encrypt

Zertifikate installieren und aktualisieren

Postfix

Mailheader

Die Header von ausgehenden Mails geben gewöhnlich viele Infos über die Einsenderin preis (bpsw. aktuelle IP-Adresse, benutzer Mailclient etc.). Diese Header lassen sich heraus filtern. Dazu /etc/postfix/master.cf bearbeiten und für die Einlieferung per Client auf dem Submission-Port einen weiteren Service definieren:

submission inet n       -       -       -       -       smtpd
  -o cleanup_service_name=subclean

...

subclean  unix  n       -       -       -       0       cleanup
  -o header_checks=regexp:/etc/postfix/header_checks

Die Datei /etc/postfix/header_checks wird nun entsprechend gefüllt. Die mit IGNORE markierten Header werden dabei entfernt:

/^Mail-System-Version:/ IGNORE
/^Mailer:/ IGNORE
/^Originating-Client:/ IGNORE
/^User-Agent:/ IGNORE
/^X-Enigmail-Version:/ IGNORE
/^X-Mailer:/ IGNORE
/^X-MimeOLE:/ IGNORE
/^X-Newsreader:/ IGNORE
/^X-Originating-IP:/ IGNORE
/^X-Sender:/ IGNORE
/^Received:.*\(Postfix/ IGNORE

Logging

Unter Debian loggt Postfix über rsyslog nach /var/log/mail.*. Mit dem Modul mmanon lassen sich die IP-Adressen anonymisieren. Dazu in /etc/rsyslog/rsyslog.conf folgenden Eintrag ergänzen:

$ModLoad mmanon
...
mail.*              action(type="mmanon")
mail.*              -/var/log/mail.log

Fussnoten, Hinweise

Quelle: https://thomas-leister.de/internet/nginx-access-logs-ip-adressen-entfernen-oder-logs-abschalten/ (1)
Abschalten per nginx.conf durch error_log off; (2)

Webdienste und Privatsphäre (zuletzt geändert am 2019-01-11 09:17:30 durch anonym)

-  ⇤ ← Revision 11 vom 2016-05-10 08:06:10 → 
  Größe: 3843
  Autor: anonym
  Kommentar:
+   ← Revision 12 vom 2016-05-25 22:23:03 → ⇥
  Größe: 4051
  Autor: anonym
  Kommentar:
-Gelöschter Text ist auf diese Art markiert.
+Hinzugefügter Text ist auf diese Art markiert.
 Zeile 34:
+== let's encrypt ==
 * [[https://kahimyang.com/kauswagan/code-blogs/1780/how-to-install-letsencrypt-ssl-certificates-for-nginx-server-block-on-debian-jessie|Zertifikate installieren und aktualisieren]]