Como você enviaria o syslog * com segurança * pela Internet pública?

19

Então, eu tenho alguns servidores que gostaria de registrar centralmente, mas obviamente não quero passar os dados de maneira insegura pela Internet.

Eu tentei o syslog-ng mas não consigo fazer isso funcionar de maneira segura, um túnel normal ssh -L PORT:localhost:PORT user@host SSH não funciona porque acredito que faz com que os logs pareçam vir da máquina local, e um VPN parece um pouco exagerado.

    
por JamesHannah 05.06.2009 / 22:52

7 respostas

18

Já experimentou syslog-ng e stunnel?

  1. Instalar o Stunnel
  2. Criar arquivos de certificado para syslog-ng sobre Stunnel
  3. Configurar stunnel para uso com syslog-ng
  4. Instalar o syslog-ng
  5. Configurar o syslog-ng
  6. FEITO!

NOTA:

O Stunnel ( link ) é um programa que permite criptografar conexões TCP arbitrárias dentro do SSL (Secure Sockets Layer) disponível no Unix e Janelas. O Stunnel pode permitir que você proteja daemons e protocolos não-SSL (como POP, IMAP, LDAP, etc.) fazendo com que o Stunnel forneça a criptografia, não exigindo alterações no código do daemon.

    
por 05.06.2009 / 23:01
12

Resposta curta: VPN

Pode parecer um exagero, mas é a resposta certa e não complicada de configurar.

    
por 05.06.2009 / 22:53
9

O Rsyslog pode fazer isso. Criptografando o tráfego de syslog com TLS

    
por 05.06.2009 / 23:15
2

Você também pode conferir o Kiwi Secure Tunnel gratuito link

    
por 05.06.2009 / 23:54
1

Use o syslog-ng ou outro daemon syslog que suporte TCP.

Envie os dados por um túnel criptografado. Não use um túnel ssh, é muito complicado.

O syslog UDP é um protocolo histórico danificado que deveria ter sido eliminado há muito tempo. Se o seu fornecedor fornecer por padrão, por favor, apóie-se neles.

Se o seu fornecedor não fornecer uma solução de syslog que assine cada mensagem antes de enviá-la, apóie-se nela.

O software é fácil, os algoritmos são fáceis. A política de instalá-lo por padrão não é.

    
por 06.06.2009 / 02:43
1

Provavelmente, em primeiro lugar, não enviaria dados de registro pela Internet, mas instale um host de registro centralizado no (s) local (is) onde for necessário.

Hoje em dia, prefiro o rsyslog ao syslog-ng. É quase um substituto e tem uma variedade de documentos e "howtos", incluindo o envio de dados criptografados TLS / SSL (a partir da v3.19.0), versões mais antigas ainda podem usar o stunnel .

Na minha experiência com o rsyslog e o syslog-ng, o rsyslog vence na facilidade de configurabilidade, especialmente porque você pode usar o seu syslog.conf existente e adicioná-lo.

Por que vale a pena, o Rsyslog é o daemon syslog padrão em Debian Lenny (5.0), Ubuntu e Fedora .

    
por 06.06.2009 / 08:56
0

Estou usando o rsyslog com tls. Há algum trabalho de preparação fora do escopo: implante uma CA local, adicione o certificado da CA a cada host, gere certificados individuais para cada host. (agora todos os seus hosts podem falar ssl uns com os outros)

Eu também precisei instalar o rsyslog-gnutls:

sudo apt-get install rsyslog-gnutls

Também restrinjai a conexão do syslog de saída (tcp 514) para que meus hosts possam se conectar apenas ao meu servidor rsyslog e criar uma lista de permissões no lado do servidor rsyslog para que apenas os hosts possam se conectar.

no /etc/rsyslog.conf

# make gtls driver the default
$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/my_keys/internal_CA.crt
$DefaultNetstreamDriverCertFile /etc/my_keys/my_hostname.crt
$DefaultNetstreamDriverKeyFile /etc/my_keys/my_hostname.key

$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer my_syslog_server.com
$ActionSendStreamDriverMode 1 # run driver in TLS-only mode
*.* @@my_syslog_server.com:514 # forward everything to remote server

Parece que a configuração do syslog-ng é ainda mais fácil. (embora eu não tenha tentado isso) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf

destination remote-server {  
    tcp ("my_syslog_server.com" port(514)
        tls(ca_dir("/etc/my_keys/"))
    );
};
    
por 26.03.2016 / 01:26