ограничить, какой сервер может отправлять журналы в graylog
Я могу отправлять журналы на сервер Graylog, указав конкретные детали в моем файле rsyslog на узле. Что-то вроде этого
*.* @logs.example.com:1337
My вопрос в том, что если у кого-то еще есть эта информация о моем сервере серого журнала, этот человек также может отправлять журналы на мой сервер серого журнала.
Как я могу убедиться, что журналы, которые я получаю, поступают только с моего сервера, а кто-то другой не использует эта информация. Я. Некий король аутентификации на конце узла для отправки журналов.
В зависимости от того, какой у вас локальный сервер системного журнала, вы можете настроить связь через TLS и потребовать аутентификацию клиента. Кроме того, вы можете сделать это, используя правила iptables на узле, используя идентификатор пользователя и группы исходного соединения.