最近、ファイアウォールの背後に Ubuntu syslog-ng サーバーを構築しました。TCP ポート 514、515、516 を開きました。ハッカーが私の syslog-ng サーバーに書き込みをしていることに気付きました。彼らは中国からのハッカーです。特定のサーバーからのログ エントリのみを受信するように syslog サーバーをハッキングから保護するにはどうすればよいでしょうか。最善の方法は何でしょうか。iptables 経由で行うべきでしょうか (これは面倒な場合があります)、それとも syslog-ng サーバーの syslog-ng.conf ファイル経由で行うべきでしょうか。
答え1
ファイアウォール ポリシーを作成するときに、主なルールを忘れました。最小権限の原則。
ファイアウォールのポリシー/例外は既知のシステムへのアクセスのみを許可する実際に公共サービスを提供している場合を除き、インターネット全体ではなく、
Syslog サーバーが内部監査ツールです。Syslog サーバーは、ほとんどのネットワーク設計ではインターネットからアクセスできないようにする必要がありますが、必要な場合は、特定のシステムでのみアクセスできるようにする必要があります。
一般的に、ファイアウォールは IP アドレス ベースの ACL を維持するのに適しています。
そもそもすべてのアプリケーションがネイティブでサポートしているわけではなく、IP アドレス ベースのアクセス制御を構成できるアプリケーションでも、それぞれ異なる構文が使用されるため、必要なときに ACL をすばやく正確に変更することが困難になります。