Недавно я построил сервер Ubuntu syslog-ng, который находится за брандмауэром. Я открыл порты TCP 514, 515 и 516. Я заметил, что хакеры пишут на мой сервер syslog-ng, они из Китая. Как мне сделать так, чтобы мой сервер syslog-ng получал записи журнала только с определенных серверов? Как лучше всего это сделать? Мне следует сделать это через iptables (это может быть утомительно) или через файл syslog-ng.conf на сервере syslog-ng?
решение1
Вы забыли главное правило при создании политик брандмауэра:принцип наименьших привилегий.
Ваши политики/исключения брандмауэра должныразрешить доступ только к известным системам, а не весь интернет, если только вы действительно не предоставляете публичную услугу.
Сервер syslog — это внутренний инструмент аудита, который в большинстве сетевых проектов вообще не должен быть доступен из интернета, но если он необходим, он должен быть доступен только для определенных систем.
В целом, брандмауэр более подходит для поддержки списков контроля доступа на основе IP-адресов.
Не все приложения изначально имеют встроенную поддержку для этого, а те приложения, которые позволяют настраивать элементы управления доступом на основе IP-адреса, будут использовать разный синтаксис, что затрудняет быстрое и точное изменение списков ACL при необходимости.