J'ai donc quelques serveurs que j'aimerais enregistrer de manière centralisée, mais je ne veux évidemment pas transmettre les données de manière non sécurisée sur Internet.
J'ai essayé syslog-ng mais je ne peux pas le faire fonctionner de manière sécurisée, un ssh -L PORT:localhost:PORT user@hosttunnel SSH normal ne fonctionnera pas parce que je pense que les journaux semblent provenir de la machine locale, et un VPN semble un peu exagéré .
Réponses:
Avez-vous essayé syslog-ng et stunnel?
REMARQUE:
Stunnel ( http://www.stunnel.org ) est un programme qui vous permet de crypter des connexions TCP arbitraires à l'intérieur de SSL (Secure Sockets Layer) disponible sur Unix et Windows. Stunnel peut vous permettre de sécuriser des démons et des protocoles non compatibles SSL (comme POP, IMAP, LDAP, etc.) en demandant à Stunnel de fournir le chiffrement, sans aucune modification du code du démon.
Réponse courte: VPN
Cela peut sembler exagéré, mais c'est la bonne réponse et pas si compliquée à mettre en place.
Rsyslog peut le faire. Cryptage du trafic Syslog avec TLS
Vous pouvez également consulter le tunnel sécurisé Kiwi gratuit http://www.solarwinds.com/products/kiwi_syslog_server/related_tools.aspx
Utilisez syslog-ng ou un autre démon syslog qui prend en charge TCP.
Envoyez les données sur un tunnel crypté. N'utilisez pas de tunnel ssh, c'est trop compliqué.
UDP syslog est un protocole historique braindamaged qui aurait dû être éliminé depuis longtemps. Si votre fournisseur le fournit par défaut, veuillez vous y appuyer.
Si votre fournisseur ne fournit pas de solution syslog qui signe chaque message avant de l'envoyer, appuyez-vous dessus.
Le logiciel est simple, les algorithmes sont simples. Les politiques de son installation par défaut ne le sont pas.
Je n'enverrais probablement pas de données de journal sur Internet en premier lieu, mais installez un hébergeur centralisé à l'endroit ou aux emplacements où cela est nécessaire.
Ces jours-ci, je préfère rsyslog à syslog-ng. Il s'agit d'un remplacement presque en baisse et propose une variété de documents et de procédures, dont un sur l'envoi de données chiffrées avec TLS / SSL (à partir de la v3.19.0), les anciennes versions peuvent toujours utiliser Stunnel .
D'après mon expérience avec rsyslog et syslog-ng, rsyslog gagne en facilité de configurabilité, d'autant plus que vous pouvez utiliser votre syslog.conf existant et l'ajouter.
Pour ce que ça vaut, Rsyslog est le démon syslog par défaut sur Debian Lenny (5.0), Ubuntu et Fedora .
J'utilise rsyslog avec tls. Il existe certains travaux de préparation hors de portée: déployez une autorité de certification locale, ajoutez le certificat de l'autorité de certification à chaque hôte, générez des certificats individuels pour chaque hôte. (maintenant tous vos hôtes peuvent se parler ssl)
J'ai également eu besoin d'installer rsyslog-gnutls:
sudo apt-get install rsyslog-gnutls
J'ai également restreint la connexion Syslog sortante (TCP 514) afin que mes hôtes ne puissent se connecter qu'à mon serveur rsyslog et créé une liste blanche entrante côté serveur rsyslog afin que seuls mes hôtes puissent se connecter.
dans /etc/rsyslog.conf
# make gtls driver the default
$DefaultNetstreamDriver gtls
# certificate files
$DefaultNetstreamDriverCAFile /etc/my_keys/internal_CA.crt
$DefaultNetstreamDriverCertFile /etc/my_keys/my_hostname.crt
$DefaultNetstreamDriverKeyFile /etc/my_keys/my_hostname.key
$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer my_syslog_server.com
$ActionSendStreamDriverMode 1 # run driver in TLS-only mode
*.* @@my_syslog_server.com:514 # forward everything to remote server
Il semble que la configuration de syslog-ng soit encore plus simple. (bien que je n'aie pas essayé) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf
destination remote-server {
tcp ("my_syslog_server.com" port(514)
tls(ca_dir("/etc/my_keys/"))
);
};