Kryptering af syslog med TLS

Formål

Sikre fjernlogføring på syslogservere ved at kryptere det med TLS.

Syslogtrafik kan krypteres med TLS/SSL, som giver gensidig godkendelse mellem fjernserveren og klienterne og dermed forhindrer angreb fra tredjemand. Følgende trin viser, hvordan det gøres.

Sørg for følgende:

• Port 6514 udgående er åben på din firewall og netværket, da den bruges af TLS til kommunikation.
• gnuTLS er installeret på både klienterne og fjernserveren, da vi bruger en GTLS-driver.
• En tredjepart må under ingen omstændigheder få adgang til certifikatnøglerne.

Trin til at kryptere syslog med TLS

Opret et selvsigneret certifikat

Trinnene til at oprette et selvsigneret certifikat med gnuTLS på den eksterne syslogserver står herunder.

• Generer en privat nøgle med denne kommando:
certtool --generate-privkey --outfile ca-key.pem
• Gør filen utilgængelig for alle andre end rodbrugeren.
chmod 400 ca-key.pem
• Brug følgende kommando til at oprette det selvsignerede CA (certifikatmyndighed)-certifikat:
certtool --generate-self-signed --load-privkey ca-key.pem --outfile ca.pem

Udfyld oplysningerne korrekt, når du bliver bedt om det. Certifikatmyndigheden (CA) er nu sat op.

Generer computercertifikat for hver maskine

• Generer en privat nøgle, og gem den i filen key.pem.
certtool --generate-privkey --outfile key.pem --bits 2048
• Opret computercertifikatet med følgende kommando. Navnet på filen request.pem er specifikt for maskinen. Hvis din maskine f.eks. er server1, kan filen hedde server1-request.pem.
certtool --generate-request --load-privkey key.pem --outfile request.pem
• Signer computercertifikatet med CA'ens private nøgle med følgende kommando
certtool --generate-certificate --load-request request.pem --outfile cert.pem --load-ca-certificate ca.pem --load-ca-privkey ca-key.pem

Udfyld oplysningerne efter behov, når du bliver bedt om det.

Distribution af certifikater

• Følgende filer skal kopieres til alle server- og klientmaskiner:
  • ca.pem
  • cert.pem
  • Key.pem

Opret en mappe på rodserveren til at gemme disse nøgler.

Disse filer skal være utilgængelige for alle andre end rodbrugeren.

Konfiguration af fjernserveren til at kommunikere over TCP med TLS

• Opret en ny konfigurationsfil /etc/rsyslog.d/logserver.conf med nedenstående kode:
module(load="imuxsock") # local messages
module(load="imtcp" # TCP listener
StreamDriver.Name="gtls"
StreamDriver.Mode="1" # run driver in TLS-only mode
StreamDriver.Authmode="anon"
)
# make gtls driver the default and set certificate files global(
DefaultNetstreamDriver="gtls"
DefaultNetstreamDriverCAFile="https://www.manageengine.com/path/to/contrib/gnutls/ca.pem"
DefaultNetstreamDriverCertFile="https://www.manageengine.com/path/to/contrib/gnutls/cert.pem"
DefaultNetstreamDriverKeyFile="https://www.manageengine.com/path/to/contrib/gnutls/key.pem"
)
# start up listener at port 6514
input( type="imtcp"
port="6514"
)


Konfiguration af klientmaskinerne

• Opret en ny fil /etc/rsyslog.d/logclient.conf med følgende kode:
global(
DefaultNetstreamDriver="gtls"
DefaultNetstreamDriverCAFile="https://www.manageengine.com/path/to/contrib/gnutls/ca.pem"
DefaultNetstreamDriverCertFile="https://www.manageengine.com/path/to/contrib/gnutls/cert.pem"
DefaultNetstreamDriverKeyFile="https://www.manageengine.com/path/to/contrib/gnutls/key.pem"
)
# set up the action for all messages action(
type="omfwd"
target="central.example.net"
protocol="tcp"
port="6514"
StreamDriver="gtls"
StreamDriverMode="1"
# run driver in TLS-only mode StreamDriverAuthMode="x509/name"
StreamDriverPermittedPeers="central.example.net"
)


Dette sætter dit system op til krypteret overførsel af syslogs.

Med en løsning til logadministration

EventLog Analyzer, en omfattende løsning til logadministration, indsamler, analyserer, sammenholder, søger i og arkiverer logdata fra enheder i hele netværket. Løsningen varetager sikkerheden af logdata under indsamling og overførsel ved hjælp af forskellige sikkerhedsprotokoller. Du kan læse mere om EventLog Analyzer her.

Hvad så nu?