Recentemente construí um servidor syslog-ng Ubuntu que está atrás de um firewall. Abri as portas TCP 514, 515 e 516. Percebi que hackers estão escrevendo para meu servidor syslog-ng, eles são da China. Como posso hackear meu servidor syslog para receber apenas entradas de log de servidores específicos? Qual é a melhor maneira? Devo fazer isso via iptables (isso pode ser entediante) ou através do arquivo syslog-ng.conf no servidor syslog-ng?
Responder1
Você esqueceu a regra principal ao criar políticas de firewall:o princípio do menor privilégio.
Suas políticas/exceções de firewall devempermitir apenas acesso a sistemas conhecidos, não a Internet completa, a menos que você esteja realmente prestando um serviço público.
Um servidor syslog é uma ferramenta de auditoria interna que, na maioria dos projetos de rede, não deve ser acessível pela Internet, mas, se necessário, deve estar disponível apenas para sistemas específicos.
Em geral, um firewall é mais adequado para manter ACLs baseadas em endereços IP.
Nem todos os aplicativos têm suporte nativo para fazer isso e, para os aplicativos que permitem configurar controles de acesso baseados em endereços IP, todos eles usarão uma sintaxe diferente, dificultando a alteração rápida e precisa de suas ACLs quando Você precisa.