Devo incluir logs que contenham "informações confidenciais"?

14

Às vezes, quando as informações estão sendo coletadas ubuntu-bug(automaticamente após uma falha no programa ou manualmente), a seguinte caixa de diálogo é exibida: insira a descrição da imagem aqui

Devo incluir esses arquivos ou não? O que é "perigoso" sobre alguém saber o nome do host do meu computador?

security bug-reporting DaimyoKirby
fonte
Sensível pode significar: a) negócios privados e de ninguém e b) perigosos do ponto de vista da segurança. Eu acho que a mensagem fala sobre a).
don.joey
2
@ Privado Essas categorias não são obviamente separadas, e meu entendimento é que a mensagem está se referindo principalmente a b - por exemplo, um log que possa conter credenciais de acesso como uma senha não seria incluído.
Elias Kagan
Ao reler o post, acho que é de fato b) o OP está pedindo.
don.joey

Respostas:

11

O software usa várias fontes de dados para um relatório de erro. Uma dessas fontes é o seu ambiente de usuário. Este é o conteúdo do arquivo /proc/PID/envonde PIDestá o ID do processo de um processo específico. No caso de um programa de rede, isso pode revelar a quais servidores você está conectado. Alguns softwares permitem inserir uma senha como opção de linha de comando.

Também um nome de host pode ser sensível. Suponha que você esteja trabalhando dentro de uma empresa. O fato de você estar trabalhando lá pode ser revelado através de um nome de host e pode ser sensível.

Portanto, em muitos casos, um nome de host não será sensível por si só, mas com informações adicionais ele pode ser facilmente sensível ou, por vezes, perigoso.

A mensagem de erro é apenas um lembrete para você refletir se vale a pena proteger seu nome de host ou outras informações. Se não, tudo está bem. Se sim, você deve modificar o relatório.

qbi
fonte
4

Recomendação geral:

  • Se você sabe o que está fazendo e que comprometer seus logs não é uma ameaça para você, inclua os logs no erro.
  • Ou, se você se sentir bem seguro, como a segurança não é da sua conta e o Linux é uma instalação de teste ou similar, você pode incluí-los.
  • Do gerenciador de exibição, não deve haver nada sobre sua rede, então acho que é bastante seguro incluir logs. A ameaça máxima é que a comunidade veja quais tipos de monitores você usa - mas não posso garantir isso.
  • Se esse não for o problema (para que você não saiba o que está fazendo, trabalhe em um ambiente "seguro" etc.), é melhor NÃO incluir as informações. Lembre-se de que esses logs são acessíveis à comunidade ubuntu, para que quase todo mundo possa lê-lo / ou você não tem controle sobre quem está lendo. Mas, em geral, isso não pode prejudicar seu computador.

Finalmente, cabe a você.

Dee
fonte