我最近建置了一個位於防火牆後面的 Ubuntu syslog-ng 伺服器。我打開了 TCP 連接埠 514、515 和 516。如何破解我的系統日誌伺服器以僅接收來自特定伺服器的日誌條目?什麼是最好的方法?我應該透過 iptables (這可能很乏味)還是透過 syslog-ng 伺服器上的 syslog-ng.conf 檔案來完成?
答案1
您在建立防火牆策略時忘記了主要規則:最小特權原則。
您的防火牆策略/例外應該只允許存取已知系統,而不是完整的互聯網,除非您確實提供公共服務。
系統日誌伺服器是一種內部審核工具,在大多數網路設計中根本不應該從網路存取它,但如果需要的話,它應該只對特定係統可用。
一般來說,防火牆更適合維護基於 IP 位址的 ACL。
並非所有應用程式都首先提供本機支持,對於那些允許您配置基於 IP 位址的存取控制的應用程序,它們都將使用不同的語法,這使得在以下情況下快速、準確地更改 ACL 變得困難:你需要。