Raspberry Pi als VPN ohne Log

[Max007]

Hey liebe Mitglieder,

ich habe aktuell einen Raspberry Pi, der als VPN Server dient. Dass funktioniert auch alles super! Meine Frage lautet: Ist es möglich auf dem PI nicht zu loggen?
Zum Beispiel:
- Generell: Alle Verbindungen und Versuche dürfen nicht protokolliert werden
- SSH; Kein Logging bzgl. IPs bei (Verbindungs-)Versuchen oder bestehender Verbindung
- OpenVPN oder Wireguard bin da noch etwas unentschlossen, ob ich wechseln soll -> Hier darf weder der Username geloggt werden, geschweige denn IP-Adressen vor, nach und während der Verbindung
- Gibt es sonst noch Services die IPs loggen?

Wie setze ich die Einstellungen entsprechend um? Vielen Dank an alle, die sich Zeit nehmen, um mir zu helfen bzw. sogar Lösungsvorschläge anbieten!

Grüße

 

[Stationary]

Logging dürfte im Wesentlichen über syslog und über systemd geführt werden. Syslog könnte man vermutlich so konfigurieren, daß es in /dev/null schreibt (wenn Du syslog komplett abschaltest, könnte es sein, daß manche Dienste daran vorbei ein log schreiben). Für systemd müsstest Du mal in journalctl schauen, was da loggt.

 

[blurrrr]

Mal als kleine Überlegung am Rande: Da sollte man aber mal "sehr" vorsichtig an das Thema gehen, denn ohne Logs, auf welche fail2ban zugreifen kann (z.B. bei SSH), kannst Du auch nicht hingehen und Bruteforce-Attacken verhindern. Eine Option wäre da ggf., dass nach einem Ban, die Adressen im Log anonymisiert werden (z.B. mittels Anonip, oder halt selbst gebastelt), damit stehen die IP-Adressen allerdings noch immer in der Liste der gesperrten IPs. Alternativ verzichtest Du auf fail2ban und kannst Dich sicherlich darauf gefasst machen, dass der kleine Raspi es ziemlich schwer abbekommen wird (Bruteforce), weil einfach "nichts" da ist, was sowas dann noch verhindert. Ist aber auch nur meine bescheidene Meinung.

"Anonymisierung" ist halt eine Sache, die Daten aber erst garnicht (kurzweilig) zur Verfügung zu haben (um schlimmeres zu verhindern)... eine ganz andere.

 

[Max007]

Hey,

ja das ist mir bewusst und für diese Problematik wird sich eine Lösung finden. Erstmal möchte ich wissen welche Dienste alle loggen im Debian vom PI. SSH / VPN ist klar. Wie schalte ich eventuell auch andere Logs aus.

 

[blurrrr]

Najo, das wird in erster Linie auf die entsprechenden Apps/Dienste ankommen - die einen so, die anderen so. Von daher wirst Du nicht darum herum kommen, Dir die entsprechenden Dinge einzeln vorzunehmen.

Erstmal möchte ich wissen welche Dienste alle loggen

Da würde ich prinzipiell erstmal von "alle" ausgehen (mindestens bei Fehlern), alles andere wäre auch nicht grade vorteilhaft. Wäre ja schon irgendwie unpraktisch, wenn etwas nicht funktioniert und Du keine Ahnung hast, weil es keine Logs gibt.

- SSH; Kein Logging bzgl. IPs bei (Verbindungs-)Versuchen oder bestehender Verbindung

Könnteste mal in Richtung "quiet" schauen, da ist das Log auf ein Minimum beschränkt (sshd_config -> loglevel, s. manpage).

Was OpenVPN angeht, so hilft da sicherlich auch wieder ein Blick in die Doku: https://openvpn.net/community-resources/reference-manual-for-openvpn-2-6/. Da wären ggf. interessant "verb" (Verbose-Level, "0" wären nur kritische Fehler), "log" (ggf. direkt nach /dev/null) und das gleiche ggf. nochmal für "status".

Ich würde es einfach mal ausprobieren und dann kannst Du noch immer schauen, ob es passt, oder ob Du ggf. noch an anderen Stellen ansetzen musst.

 

[Max007]

okay, ich müsste also jeden einzelnen Dienst, der auf der Maschine läuft überprüfen. Es reicht nicht nur die Logs von SSH und dem VPN Dienst (Bsp. Openvpn) zu deaktivieren? Also wenn ich da hunderte von Dienste für durchgehen muss, dann lass ich es sein, weil das sind ja Stunden, eher Tage von Arbeit

 

[blurrrr]

Naja, es kommt halt ganz darauf an, welcher Dienst was genau logged. Du sagst, dass Du "dies das und jenes" nicht willst? Jut, dann schau in die Logs und kontrollier, ob da nicht ggf. doch irgendein Dienst irgendwas hinterlässt. Du hast initial von SSH+OpenVPN gesprochen, die beiden habe ich erstmal erwähnt. Für alles andere gilt halt das gleiche, wobei man da sicherlich auch ein paar Dinge aus der Rechnung rausnehmen kann (z.B. die Dinge unter /var/log/apt/), aber wiederum andere im Blick haben muss - halt all die, wo "theoretisch" irgendwann mal aus irgendwelchen Gründen eine Fremd-IP auftauchen "könnte".