rsyslog com TLS

1

Eu preciso desabilitar o TLS 1.2 e garantir que a conexão aceite o pacote de criptografia da versão 1.1 do TLS SHA: AES128 & SHA: AES256. Eu não encontrei nenhuma documentação de suporte para onde definir a versão do TLS. Percebi que SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2 pode ser definido na configuração HTTPD para ativar / desativar a versão TLS que você quer, mas como faço o mesmo no rsyslog.

Aqui estão minhas configurações no lado do servidor:

#rsyslogd -v
rsyslogd 8.24.0, compiled with:
        PLATFORM:                               x86_64-redhat-linux-gnu
        PLATFORM (lsb_release -d):
        FEATURE_REGEXP:                         Yes
        GSSAPI Kerberos 5 support:              Yes
        FEATURE_DEBUG (debug build, slow code): No
        32bit Atomic operations supported:      Yes
        64bit Atomic operations supported:      Yes
        memory allocator:                       system default
        Runtime Instrumentation (slow code):    No
        uuid support:                           Yes
        Number of Bits in RainerScript integers: 64

See http://www.rsyslog.com for more information.

/etc/rsyslog.conf

##TLS Driver##
$DefaultNetstreamDriver gtls

##TLS Certificate##
$DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.crt
$DefaultNetstreamDriverCertFile /etc/pki/rsyslog/cert.PEM
$DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/privatekey.key

module(load="imtcp"
       MaxSessions="2000"
       StreamDriver.mode="1"
       StreamDriver.authmode="x509/name"
       PermittedPeer="*.clientsidehost.com")
input(type="imtcp" port="20514" name="tcp-tls")

O aplicativo que estou tentando receber registra tendo o seguinte requisito que estou tentando cumprir.

 TLS 1.0 & TLS 1.1 supported.
 TLS 1.2 is not supported and it needs to be disabled on your configuration.    
 Cipher Suites SHA:AES128 & SHA: AES256 supported.

Qualquer ajuda seria muito apreciada

Atualização:

# openssl ciphers -v | awk '{print $2}' | sort -u
SSLv3
TLSv1.2

# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.3 (Maipo)
    
por Raza 19.05.2018 / 22:44

1 resposta

1

Usando uma distribuição Linux recente como RHEL 7.0, você descobrirá que openssl não suporta TLS 1.0 e TLS 1.1. mais por motivos de segurança.

Como você pode ver na saída openssl ciphers -v , o TLS 1.0 e o TLS 1.1 não estão listados .

Como solução:

  • peça ao seu fornecedor para suportar o TLS 1.2, você precisará dele;
  • use uma versão anterior do RHEL que suporte TLS 1.0 ou TLS 1.1 e aponte seu syslog real para ele, se tiver outro aplicativo que precise da nova versão do RHEL;
  • compila uma versão mais antiga do openssl + rsyslog manualmente;
  • ou tente se livrar da instalação e rsyslogd rpm mais antigo (provavelmente não funcionará)
  • configure um túnel SSL como última medida temporária entre você e o rsyslog, novamente com outra versão. Mas para isso, use melhor então rsyslog .

Obviamente, com o passar do tempo, você precisará de mais e mais suporte a TLS 1.2 em um futuro próximo.

    
por 20.05.2018 / 10:05