rsyslog: nome de peer não autorizado - não tem permissão para falar com ele

2

Tentando configurar um servidor central rsyslog com o TLS ativado. Tem sido uma luta até agora, mas estou quase lá. Atualmente recebendo este erro:

rsyslogd: error: peer name not authorized -  not permitted to talk to
it. Names:  [v8.27.0 try http://www.rsyslog.com/e/2088 ]  
rsyslogd: netstream session 0x7fda34010110 from 10.0.4.91 will be closed due to
error  [v8.27.0 try http://www.rsyslog.com/e/2089 ]

Mas eu especificamente coloco esse IP em InputTCPServerStreamDriverPermittedPeer . O que pode estar errado? Eu não consigo superar esse erro. Validado minha configuração está OK com

# rsyslogd -N1
rsyslogd: version 8.27.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

Minha configuração com algumas coisas removidas:

$ModLoad imuxsock # local messages

$ModLoad imtcp # TCP listener  

$ModLoad imjournal # provides access to the systemd journal

$DefaultNetstreamDriver gtls

$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ca.pem 

$DefaultNetstreamDriverCertFile /etc/rsyslog.d/machine-cert.pem 

$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/machine-key.pem 

$InputTCPServerStreamDriverAuthMode x509/name

$InputTCPServerStreamDriverPermittedPeer 10.0.4.91

$InputTCPServerStreamDriverMode 1 #run driver in TLS-only mode

$InputTCPServerRun 10514 #start up listener at port 10514

# Include all config files in /etc/rsyslog.d/

$IncludeConfig /etc/rsyslog.d/*.conf

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
    
por rajat banerjee 23.05.2017 / 23:46

1 resposta

1

Acontece que o cliente estava fornecendo um certificado não confiável.

Etapas para descobrir isso:

  1. No cliente, execute: openssl s_client -connect: 10514 e corrigir quaisquer erros

  2. no servidor, execute: openssl s_client -connect: 10514

  3. no rsyslogd.conf, alterne: $ InputTCPServerStreamDriverAuthMode x509 / name para $ InputTCPServerStreamDriverAuthMode anon que permite que qualquer cliente se conecte sem autorizar o cliente. Isso deve permitir que os eventos sejam enviados.

Isso limitou a questão do certificado de cliente.

    
por 24.05.2017 / 20:34

Tags