Тож у мене є кілька серверів, на які я хотів би ввійти централізовано, але очевидно, я не хочу безпечно передавати дані через Інтернет.
Я спробував syslog-ng, але не можу змусити його працювати безпечним способом, нормальний ssh -L PORT:localhost:PORT user@hostтунель SSH не працюватиме, тому що я вважаю, що журнали, здається, надходять з локальної машини, а VPN здається трохи схожим на overkill .
Відповіді:
Ви пробували syslog-ng та stunnel?
ПРИМІТКА:
Stunnel ( http://www.stunnel.org ) - програма, яка дозволяє зашифрувати довільні TCP-з'єднання всередині SSL (Secure Sockets Layer), доступні як для Unix, так і для Windows. Stunnel може дозволити вам захистити демони та протоколи, що не знають SSL (наприклад, POP, IMAP, LDAP тощо), за допомогою Stunnel забезпечити шифрування, не вимагаючи змін у коді демона.
Коротка відповідь: VPN
Це може здатися непосильним, але це правильна відповідь і не так вже й складно налаштувати.
Rsyslog може це зробити. Шифрування трафіку Syslog за допомогою TLS
Ви також можете ознайомитись з безкоштовним тунелем для безпечного ківі http://www.solarwinds.com/products/kiwi_syslog_server/related_tools.aspx
Використовуйте syslog-ng або інший демон-syslog, який підтримує TCP.
Надіслати дані через зашифрований тунель. Не використовуйте ssh тунель, це занадто химерно.
Система UDP - це історичний пошкоджений протокол, який мав би бути давно усунутий. Якщо ваш постачальник надає це за замовчуванням, будь ласка, спирайтеся на них.
Якщо ваш постачальник не пропонує рішення системи syslog, яке підписує кожне повідомлення, перш ніж надсилати його, спирайтеся на них.
Програмне забезпечення просте, алгоритми - прості. Політика його встановлення за замовчуванням не є.
Я, мабуть, не хотів би надсилати дані журналу в Інтернеті в першу чергу, але встановити централізований лог-хост в ті місця, де це потрібно.
У наші дні я віддаю перевагу rsyslog перед syslog-ng. Це майже скорочення заміни і має безліч паперів та практичних запитів, включаючи інформацію про надсилання зашифрованих даних за допомогою TLS / SSL (станом на v3.19.0), старіші версії все ще можуть використовувати оглушення .
З мого досвіду як з rsyslog, так і з syslog-ng, rsyslog виграє у простоті конфігурації, тим більше, що ви можете використовувати свій існуючий syslog.conf і додати до цього.
Що для цього варто, Rsyslog - це демон за системою Delog Lenny (5.0), Ubuntu та Fedora за замовчуванням .
Я використовую rsyslog з tls. Існує деяка підготовча робота поза сферою: Розгортайте локальний ЦС, додайте сертифікат CA до кожного хоста, генеруйте індивідуальні серти для кожного хоста. (тепер усі ваші господарі можуть спілкуватись між собою ssl)
Також мені потрібно було встановити rsyslog-gnutls:
sudo apt-get install rsyslog-gnutls
Я також обмежив вихідне з'єднання syslog (tcp 514), тому мої хости можуть підключатися лише до мого сервера rsyslog, і створив вхідний список списку на стороні сервера rsyslog, щоб тільки мої хости могли підключатися.
в /etc/rsyslog.conf
# make gtls driver the default
$DefaultNetstreamDriver gtls
# certificate files
$DefaultNetstreamDriverCAFile /etc/my_keys/internal_CA.crt
$DefaultNetstreamDriverCertFile /etc/my_keys/my_hostname.crt
$DefaultNetstreamDriverKeyFile /etc/my_keys/my_hostname.key
$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer my_syslog_server.com
$ActionSendStreamDriverMode 1 # run driver in TLS-only mode
*.* @@my_syslog_server.com:514 # forward everything to remote server
Схоже, що налаштування для syslog-ng ще простіше. (хоча я цього не пробував) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf
destination remote-server {
tcp ("my_syslog_server.com" port(514)
tls(ca_dir("/etc/my_keys/"))
);
};