Como você enviaria o syslog * com segurança * pela Internet pública?

Então, eu tenho alguns servidores que eu gostaria de registrar centralmente, mas obviamente não quero passar os dados de maneira insegura pela Internet.

Eu tentei o syslog-ng, mas não posso fazê-lo funcionar de maneira segura, um ssh -L PORT:localhost:PORT user@hosttúnel SSH normal não funcionará porque acredito que faz com que os logs pareçam vir da máquina local e uma VPN parece um exagero .

Você já tentou o syslog-ng e stunnel?

1. Instalar Stunnel
2. Crie arquivos de certificado para syslog-ng através do Stunnel
3. Configurar o Stunnel para uso com o syslog-ng
4. Instale o syslog-ng
5. Configurar syslog-ng
6. FEITO!

NOTA:

O Stunnel ( http://www.stunnel.org ) é um programa que permite criptografar conexões TCP arbitrárias dentro do SSL (Secure Sockets Layer) disponível no Unix e no Windows. O Stunnel pode permitir que você proteja daemons e protocolos que não reconhecem SSL (como POP, IMAP, LDAP etc.), solicitando que o Stunnel forneça a criptografia, sem necessidade de alterações no código do daemon.

Resposta curta: VPN

Pode parecer um exagero, mas é a resposta certa e não é tão complicada de configurar.

Rsyslog pode fazer isso. Criptografando o tráfego de syslog com TLS

Você também pode conferir o Kiwi Secure Tunnel gratuito http://www.solarwinds.com/products/kiwi_syslog_server/related_tools.aspx

Use syslog-ng ou outro daemon syslog que suporte TCP.

Envie os dados por um túnel criptografado. Não use um túnel ssh, é muito complicado.

O syslog UDP é um protocolo histórico danificado que deveria ter sido eliminado há muito tempo. Se o seu fornecedor fornecer por padrão, inclua-se neles.

Se o seu fornecedor não fornecer uma solução syslog que assine cada mensagem antes de enviá-la, incline-se sobre elas.

O software é fácil, os algoritmos são fáceis. A política de instalá-lo por padrão não é.

Eu provavelmente não enviaria dados de log pela Internet em primeiro lugar, mas instalaria um host de log centralizado no (s) local (is) onde necessário.

Hoje em dia, prefiro rsyslog a syslog-ng. É quase uma substituição, e possui uma variedade de papéis e instruções, incluindo um sobre o envio de dados criptografados com TLS / SSL (a partir da v3.19.0); as versões mais antigas ainda podem usar stunnel .

Na minha experiência com o rsyslog e o syslog-ng, o rsyslog vence com facilidade na configurabilidade, especialmente porque você pode usar o syslog.conf existente e adicionar isso.

Pelo que vale, Rsyslog é o daemon syslog padrão no Debian Lenny (5.0), Ubuntu e Fedora .

Estou usando o rsyslog com tls. Há algum trabalho de preparação fora do escopo: implante uma CA local, adicione o certificado da CA a cada host, gere certificados individuais para cada host. (agora todos os seus hosts podem conversar com SSL)

Eu também precisava instalar o rsyslog-gnutls:

sudo apt-get install rsyslog-gnutls

Também restringi a conexão syslog de saída (tcp 514) para que meus hosts só possam se conectar ao meu servidor rsyslog e criei uma lista branca de entrada no lado do servidor rsyslog para que apenas meus hosts possam se conectar.

em /etc/rsyslog.conf

# make gtls driver the default
$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/my_keys/internal_CA.crt
$DefaultNetstreamDriverCertFile /etc/my_keys/my_hostname.crt
$DefaultNetstreamDriverKeyFile /etc/my_keys/my_hostname.key

$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer my_syslog_server.com
$ActionSendStreamDriverMode 1 # run driver in TLS-only mode
*.* @@my_syslog_server.com:514 # forward everything to remote server

Parece que a configuração do syslog-ng é ainda mais fácil. (embora eu não tenha tentado isso) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf

destination remote-server {  
    tcp ("my_syslog_server.com" port(514)
        tls(ca_dir("/etc/my_keys/"))
    );
};