15.5. 配置 TLS 加密的远程日志记录
默认情况下,Rsyslog 以纯文本格式发送 remote-logging 通信。如果您的场景需要保护这个通信频道,您可以使用 TLS 加密它。
要通过 TLS 使用加密传输,请同时配置服务器和客户端。服务器收集和分析由一个或多个客户端系统发送的日志。
您可以使用 ossl 网络流驱动程序(OpenSSL)或 gtls 流驱动程序(GnuTLS)。
如果您的系统具有更高的安全性,例如,没有连接到任何网络或有严格授权的系统,请使用独立的系统作为认证授权(CA)。
先决条件
-
有对客户端和服务器系统的
root访问权限。 -
rsyslog和rsyslog-openssl软件包安装在服务器和客户端系统中。 -
如果您使用
gtls网络流驱动程序,请安装rsyslog-gnutls软件包,而不是rsyslog-openssl。 -
如果使用
certtool命令生成证书,请安装gnutls-utils软件包。 在您的日志服务器中,以下证书位于
/etc/pki/ca-trust/source/anchors/目录中,并使用update-ca-trust命令更新您的系统配置:-
ca-cert.pem- 一个 CA 证书,它可以在日志记录服务器和客户端上验证密钥和证书。 -
server-cert.pem- 日志记录服务器的公钥。 -
server-key.pem- 日志记录服务器的私钥。
-
在您的日志记录客户端中,以下证书位于
/etc/pki/ca-trust/source/anchors/目录中,并使用update-ca-trust来更新您的系统配置:-
ca-cert.pem- 一个 CA 证书,它可以在日志记录服务器和客户端上验证密钥和证书。 -
client-cert.pem- 客户端的公钥。 -
client-key.pem- 客户端的私钥。 - 如果服务器运行 RHEL 9.2 或更高版本,并且启用了 FIPS 模式,则客户端必须支持Extended Master Secret(EMS)扩展或使用 TLS 1.3。没有 EMS 的 TLS 1.2 连接会失败。如需更多信息,请参阅 强制 TLS 扩展"Extended Master Secret" 知识库文章。
-
流程
配置服务器以从您的客户端系统接收加密日志:
-
在
/etc/rsyslog.d/目录中创建一个新文件,例如securelogser.conf。 要加密通信,配置文件必须包含指向服务器的证书文件的路径、所选身份验证方法,以及支持 TLS 加密的流驱动程序。在
/etc/rsyslog.d/securelogser.conf文件中添加以下行:# Set certificate files global( DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem" DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/server-cert.pem" DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/server-key.pem" ) # TCP listener module( load="imtcp" PermittedPeer=["client1.example.com", "client2.example.com"] StreamDriver.AuthMode="x509/name" StreamDriver.Mode="1" StreamDriver.Name="ossl" ) # Start up listener at port 514 input( type="imtcp" port="514" )
注意如果您更喜欢 GnuTLS 驱动程序,请使用
StreamDriver.Name="gtls"配置选项。有关比x509/name严格性低的验证模式的更多信息,请参阅使用rsyslog-doc软件包安装的文档。-
将更改保存到
/etc/rsyslog.d/securelogser.conf文件。 验证
/etc/rsyslog.conf文件的语法以及/etc/rsyslog.d/目录中的任何文件:# rsyslogd -N 1 rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)... rsyslogd: End of config validation run. Bye.确保
rsyslog服务在日志记录服务器中运行并启用:# systemctl status rsyslog重启
rsyslog服务:# systemctl restart rsyslog可选:如果没有启用 Rsyslog,请确保
rsyslog服务在重启后自动启动:# systemctl enable rsyslog
-
在
配置客户端以将加密日志发送到服务器:
-
在客户端系统上,在
/etc/rsyslog.d/目录中创建一个名为 的新文件,如securelogcli.conf。 在
/etc/rsyslog.d/securelogcli.conf文件中添加以下行:# Set certificate files global( DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem" DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/client-cert.pem" DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/client-key.pem" ) # Set up the action for all messages *.* action( type="omfwd" StreamDriver="ossl" StreamDriverMode="1" StreamDriverPermittedPeers="server.example.com" StreamDriverAuthMode="x509/name" target="server.example.com" port="514" protocol="tcp" )
注意如果您更喜欢 GnuTLS 驱动程序,请使用
StreamDriver.Name="gtls"配置选项。-
将更改保存到
/etc/rsyslog.d/securelogser.conf文件。 验证
/etc/rsyslog.conf文件的语法以及/etc/rsyslog.d/目录中的其他文件:# rsyslogd -N 1 rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)... rsyslogd: End of config validation run. Bye.确保
rsyslog服务在日志记录服务器中运行并启用:# systemctl status rsyslog重启
rsyslog服务:# systemctl restart rsyslog可选:如果没有启用 Rsyslog,请确保
rsyslog服务在重启后自动启动:# systemctl enable rsyslog
-
在客户端系统上,在
验证
要验证客户端系统向服务器发送信息,请按照以下步骤执行:
在客户端系统中发送测试信息:
# logger test在服务器系统上,查看
/var/log/messages日志,例如:# cat /var/log/remote/msg/hostname/root.log Feb 25 03:53:17 hostname root[6064]: test
其中
hostname是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为root。
其他资源
-
certtool (1),openssl (1),update-ca-trust (8),rsyslogd(8)和rsyslog.conf (5)手册页。 -
在
/usr/share/doc/rsyslog/html/index.html上安装了rsyslog-doc软件包的文档。 - 使用带有 TLS 的日志系统角色。
