배경 : 원격 로그 집계는 보안을 향상시키는 방법으로 간주됩니다. 일반적으로 이는 시스템을 손상시킨 공격자가 법의학 분석을 좌절시키기 위해 로그를 편집하거나 삭제할 수있는 위험을 해결합니다. 일반적인 로그 도구에서 보안 옵션을 연구하고 있습니다.
그러나 뭔가 잘못 느낍니다. 들어오는 메시지가 실제로 호스트 된 호스트에서 발생했음을 인증하기 위해 일반적인 원격 로거 (예 : rsyslog, syslog-ng, logstash)를 구성하는 방법을 알 수 없습니다. 일종의 정책 제약이 없으면 한 로그 작성자가 다른 로그 작성자를 대신하여 메시지를 위조 할 수 있습니다.
rsyslog의 작성자는 로그 데이터 인증에 대해 경고하는 것 같습니다 .
마지막주의 사항 : transport-tls는 발신자와 수신자 간의 연결을 보호합니다. 메시지 자체에 존재하는 공격으로부터 반드시 보호 할 필요는 없습니다. 특히 릴레이 환경에서 메시지는 잘못된 호스트 이름 및 / 또는 기타 콘텐츠를 포함하는 악성 시스템에서 시작되었을 수 있습니다. 이러한 사항에 대한 프로비저닝이없는 경우 이러한 레코드가 수신자의 저장소에 표시 될 수 있습니다. -transport-tls는이를 방지하지는 않지만 제대로 사용하면 도움이 될 수 있습니다. syslog-transport-tls는 홉별 보안을 제공합니다. 엔드 투 엔드 보안을 제공하지 않으며 메시지 자체를 인증하지 않습니다 (마지막 발신자 만).
따라서 후속 질문은 어느 정도의 신뢰성을 제공하는 좋은 / 실제 구성 (선택한 일반적인 로그 도구-rsyslog, syslog-ng, logstash 등)은 무엇입니까?
아니면 ... 아무도 로그 데이터를 인증 하지 않으면 왜 안 됩니까?
-
(제외 : / 논의 비교, 그것은 일부 다이어그램 또는 용어를 사용하는 데 도움이 될 수 있습니다 RFC 5424 : 4.1 : 예 배포 시나리오 - 예를 들어 "발신자"대 "컬렉터"대 "릴레이")