Bối cảnh : Tổng hợp nhật ký từ xa được coi là một cách để cải thiện bảo mật. Nói chung, điều này giải quyết rủi ro kẻ tấn công xâm phạm hệ thống có thể chỉnh sửa hoặc xóa nhật ký để làm thất vọng phân tích pháp y. Tôi đã nghiên cứu các tùy chọn bảo mật trong các công cụ đăng nhập phổ biến.
Nhưng một cái gì đó cảm thấy sai. Tôi không thể xem cách định cấu hình bất kỳ trình ghi nhật ký từ xa phổ biến nào (ví dụ: rsyslog, syslog-ng, logstash) để xác thực rằng một tin nhắn đến thực sự bắt nguồn từ máy chủ lưu trữ có mục đích. Nếu không có một số ràng buộc chính sách nào đó, một người khởi tạo nhật ký có thể giả mạo các thông điệp thay mặt cho một người khởi tạo nhật ký khác.
Tác giả của rsyslog dường như cảnh báo về việc xác thực dữ liệu nhật ký :
Một lời cảnh báo cuối cùng: Transport-tls bảo vệ kết nối giữa người gửi và người nhận. Nó không nhất thiết bảo vệ chống lại các cuộc tấn công có trong chính thông điệp. Đặc biệt là trong môi trường chuyển tiếp, tin nhắn có thể đã được bắt nguồn từ một hệ thống độc hại, đặt tên máy chủ không hợp lệ và / hoặc nội dung khác vào đó. Nếu không có quy định chống lại những điều đó, những hồ sơ này có thể hiển thị trong kho lưu trữ của người nhận. -transport-tls không bảo vệ chống lại điều này (nhưng nó có thể giúp, được sử dụng đúng cách). Hãy nhớ rằng syslog-Transport-tls cung cấp bảo mật hop-by-hop. Nó không cung cấp bảo mật đầu cuối và nó không xác thực chính thông điệp (chỉ người gửi cuối cùng).
Vì vậy, câu hỏi tiếp theo là: một cấu hình tốt / thực tế (trong bất kỳ công cụ nhật ký phổ biến nào bạn chọn - rsyslog, syslog-ng, logstash, v.v.) cung cấp một số lượng xác thực?
Hoặc ... nếu không ai xác thực dữ liệu nhật ký, thì tại sao không ?
-
(Ngoài ra: Trong thảo luận / so sánh, có thể giúp sử dụng một số sơ đồ hoặc thuật ngữ từ RFC 5424: Phần 4.1: Kịch bản triển khai ví dụ - ví dụ "người khởi tạo" so với "chuyển tiếp" so với "người thu thập")