Ich habe vor Kurzem einen Ubuntu-Syslog-ng-Server erstellt, der sich hinter einer Firewall befindet. Ich habe die TCP-Ports 514, 515 und 516 geöffnet. Mir ist aufgefallen, dass Hacker auf meinen Syslog-ng-Server schreiben. Sie kommen aus China. Wie mache ich meinen Syslog-Server hacksicher, sodass er nur Protokolleinträge von bestimmten Servern empfängt? Was ist der beste Weg? Soll ich das über iptables machen (das kann mühsam sein) oder über die Datei syslog-ng.conf auf dem Syslog-ng-Server?
Antwort1
Sie haben beim Erstellen von Firewall-Richtlinien die Hauptregel vergessen:das Prinzip der geringsten Privilegien.
Ihre Firewall-Richtlinien/Ausnahmen solltennur den Zugriff auf bekannte Systeme erlauben, nicht das gesamte Internet, es sei denn, Sie bieten tatsächlich einen öffentlichen Dienst an.
Ein Syslog-Server ist ein internes Prüftool, das in den meisten Netzwerkdesigns überhaupt nicht vom Internet aus zugänglich sein sollte. Wenn es aber doch nötig ist, sollte es nur für bestimmte Systeme verfügbar sein.
Im Allgemeinen ist eine Firewall besser geeignet, um ACLs auf Basis von IP-Adressen zu verwalten.
Nicht alle Anwendungen bieten hierfür von Haus aus native Unterstützung und die Anwendungen, die die Konfiguration von IP-adressbasierten Zugriffskontrollen ermöglichen, verwenden alle eine andere Syntax. Dadurch ist es schwierig, Ihre ACLs bei Bedarf schnell und präzise zu ändern.