Linux
如何破解我的 syslog-ng 伺服器
我最近建構了一個位於防火牆後面的 Ubuntu syslog-ng 伺服器。我打開了 TCP 埠 514、515 和 516。我注意到黑客正在寫入我的 syslog-ng 伺服器,他們來自中國。如何破解我的系統日誌伺服器以僅接收來自特定伺服器的日誌條目?什麼是最好的方法?我應該通過 iptables(這可能很乏味)還是通過 syslog-ng 伺服器上的 syslog-ng.conf 文件來完成?
您在創建防火牆策略時忘記了主要規則:最小權限原則。
您的防火牆策略/例外應該只允許訪問已知系統,而不是整個網際網路,除非您確實提供公共服務。
syslog 伺服器是一種內部審計工具,在大多數網路設計中根本不應該從 Internet 訪問它,但如果需要,它應該只對特定係統可用。
一般來說,防火牆更適合維護基於 IP 地址的 ACL。
並非所有應用程序都具有原生支持,並且對於那些允許您配置基於 IP 地址的訪問控制的應用程序,它們都將使用不同的語法,因此很難在何時快速準確地更改 ACL你需要。