Recientemente construí un servidor Ubuntu syslog-ng que está detrás de un firewall. Abrí los puertos TCP 514, 515 y 516. He notado que los piratas informáticos están escribiendo en mi servidor syslog-ng, son de China. ¿Cómo puedo hackear mi servidor syslog para recibir solo entradas de registro de servidores específicos? ¿Cuál es la mejor manera? ¿Debo hacerlo a través de iptables (esto puede ser tedioso) o mediante el archivo syslog-ng.conf en el servidor syslog-ng?
Respuesta1
Olvidó la regla principal al crear políticas de firewall:el principio de privilegio mínimo.
Sus políticas/excepciones de firewall debensólo permitir el acceso a sistemas conocidos, no toda Internet, a menos que realmente estés brindando un servicio público.
Un servidor syslog es una herramienta de auditoría interna a la que en la mayoría de los diseños de red no debería ser accesible desde Internet, pero si es necesario, solo debería estar disponible para sistemas específicos.
En general, un firewall es más adecuado para mantener ACL basadas en direcciones IP.
No todas las aplicaciones tienen soporte nativo para hacerlo en primer lugar y para aquellas aplicaciones que le permiten configurar controles de acceso basados en direcciones IP, todas usarán una sintaxis diferente, lo que dificulta cambiar sus ACL de manera rápida y precisa cuando necesitas.