저는 최근 방화벽 뒤에 있는 Ubuntu syslog-ng 서버를 구축했습니다. 나는 TCP 포트 514, 515, 516을 열었습니다. 해커들이 내 syslog-ng 서버에 글을 쓰고 있는 것을 발견했습니다. 그들은 중국에서 왔습니다. 특정 서버의 로그 항목만 수신하도록 syslog 서버를 해킹 방지하려면 어떻게 해야 합니까? 가장 좋은 방법은 무엇입니까? iptables(지루할 수 있음)를 통해 수행해야 합니까, 아니면 syslog-ng 서버의 syslog-ng.conf 파일을 통해 수행해야 합니까?
답변1
방화벽 정책을 만들 때 기본 규칙을 잊어버렸습니다.최소 권한의 원칙.
방화벽 정책/예외는 다음과 같습니다.알려진 시스템에만 액세스 허용, 실제로 공공 서비스를 제공하지 않는 한 완전한 인터넷은 아닙니다.
syslog 서버는 대부분의 네트워크 설계에서 인터넷에서 전혀 액세스할 수 없어야 하는 내부 감사 도구이지만, 필요한 경우 특정 시스템에서만 사용할 수 있어야 합니다.
일반적으로 방화벽은 IP 주소 기반 ACL을 유지하는 데 더 적합합니다.
모든 애플리케이션이 처음부터 이를 기본적으로 지원하는 것은 아니며 IP 주소 기반 액세스 제어를 구성할 수 있는 애플리케이션의 경우 모두 다른 구문을 사용하므로 ACL을 빠르고 정확하게 변경하기가 어렵습니다. 당신은해야합니다.