Wie fail2ban laufen lassen wenn IPs nicht geloggt werden dürfen

GwenDragon

Registered User
Aus Gründen des Datenschutzes dürfen ja in Logdateien keine IPs gespeichert werden, also wurden die schon länger durch 127.0.0.1 ersetzt.
Der Schutz des Servers stellte ja früher ein berechtigtes Interesse für die Betreiber dar. Das kann aber nun schon seit einigen Jahre nicht mehr geltend wegen des novellierten BDSG gemacht werden.

Nur setzt fail2ban auch auf Access-Logs auf, um was zu sperren. So bei Jails für Wordpress, Horde, Roundcube oder um Bots zu blocken.

Ich glaube kaum, dass es rechtskonform ist, die IPs erst mal in den access-Logs zu belassen und dann mit einem daily cron zu entfernen, denn so wären die ja 24h gespeichert.

Wie wird das bei euch gelöst wenn ihr fail2ban nutzt? Oder wie blockt ihr unerlaubte Zugriffe auf den Webserver bzw. darauf laufende Anwendungen?
 
Für Auswertungen, die für die Sicherstellung des Betriebs notwendig sind darfst Du IPs weiterhin mitprotokollieren und speichern - für einen Zeitraum, der dafür angemessen ist.

Gehandhabt wird das meist so, daß in den Logs die IPs enthalten sind, diese dann aber entweder nach einer gewissen Zeit (zugestanden wird einen da meist ca. 1 Woche) entweder anonymisiert oder gelöscht werden müssen.

Siehe auch https://www.lto.de/recht/hintergrue...nenbezogene-daten-verarbeitung-speicherung/2/
 
Last edited by a moderator:
Dann würde es ja auch reichen, wenn das access-Log täglich per logrotate komprimiert wird und es dann maximal 7 Versionen gibt -- sprich nach einer Woche sind die alten vom 1. Tag ja weg.

Oder interpretiere ich da was falsch.
 
ich verstehe die Rückfrage nicht so recht, aber "grundsätzlich" darfst Du IPs, solange es produktionsrelevant ist, für einen gewissen Zeitraum speichern.

Ob Du das nun erreichst, indem Du jeden Tag das Logfile wegrotierst und das wegrotierte dann sofort oder später anonymisierst oder sogar löschst oder ein "Dauerlog" entsprechend bearbeitest ist erst mal egal.
 
Back
Top