Я подумываю об использовании службы papertrailapp.com (другие аналогичные сервисы не работают), где вы конфигурируете свой системный журнал для отображения в нем событий через udp. Это включает добавление этой записи в /etc/rsyslog.conf

*.* @logs.papertrailapp.com:12345  (where 12345 is a port unique to my account)

Итак, мой вопрос, это безопасно? Не мог бы кто-нибудь понюхать трафик и посмотреть вывод логов с моего сервера?

2 ответа2

1

Ничто не является на 100% "безопасным". Вы должны решить, от чего стоит защищаться и что является мнимой проблемой в вашей конкретной среде. Например, "хакеры" редко сидят посреди проводной сети, анализируя трафик, так делают только интернет-провайдеры и правительства.

Если вы хотите защитить свой трафик от слежки вашего правительства и интернет-провайдера, то да, UDP-транспорт небезопасен. Если вас это не волнует, то UDP достаточно хорош.

Повторная подмена сообщений - та же самая история - решите, беспокоит ли это вас, и затем действуйте соответственно.

1

Нет, это не безопасно. Они могут не только наблюдать за выводом журнала, если они могут прослушивать трафик, но они также могут подделывать сообщения журнала, поступающие с ваших систем.

Вы должны рассмотреть возможность использования современной реализации системного журнала с RELP. Я считаю, что RELP все еще недостаточно безопасен для того, что вы просите (хотя я могу ошибаться), но он намного лучше, чем стандартный облегченный протокол системного журнала UDP. Кроме того, он надежен ("R" в "RELP"), поэтому он намного лучше для передачи по глобальной сети.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .