TLSを使用したrsyslog

TLSを使用したrsyslog

TLS 1.2を無効にし、接続がTLSバージョン1.1暗号化スイートSHA:AES128およびSHA:AES256を受け入れていることを確認する必要があります。 TLS バージョンを定義するサポート文書が見つかりませんでした。SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2HTTPD設定で定義して、必要なTLSバージョンを有効/無効にすることが可能であることがわかりました。しかし、rsyslogで同じことをするにはどうすればよいですか?

これはサーバー側の構成です。

#rsyslogd -v
rsyslogd 8.24.0, compiled with:
        PLATFORM:                               x86_64-redhat-linux-gnu
        PLATFORM (lsb_release -d):
        FEATURE_REGEXP:                         Yes
        GSSAPI Kerberos 5 support:              Yes
        FEATURE_DEBUG (debug build, slow code): No
        32bit Atomic operations supported:      Yes
        64bit Atomic operations supported:      Yes
        memory allocator:                       system default
        Runtime Instrumentation (slow code):    No
        uuid support:                           Yes
        Number of Bits in RainerScript integers: 64

See http://www.rsyslog.com for more information.

/etc/rsyslog.conf

##TLS Driver##
$DefaultNetstreamDriver gtls

##TLS Certificate##
$DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.crt
$DefaultNetstreamDriverCertFile /etc/pki/rsyslog/cert.PEM
$DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/privatekey.key

module(load="imtcp"
       MaxSessions="2000"
       StreamDriver.mode="1"
       StreamDriver.authmode="x509/name"
       PermittedPeer="*.clientsidehost.com")
input(type="imtcp" port="20514" name="tcp-tls")

ログを受信するアプリケーションには、準拠しようとする次の要件があります。

 TLS 1.0 & TLS 1.1 supported.
 TLS 1.2 is not supported and it needs to be disabled on your configuration.    
 Cipher Suites SHA:AES128 & SHA: AES256 supported.

どんな助けでも大変感謝します。

修正する:

# openssl ciphers -v | awk '{print $2}' | sort -u
SSLv3
TLSv1.2

# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.3 (Maipo)

答え1

最新のLinuxディストリビューションであるRHEL 7.0では、opensslTLS 1.0およびTLS 1.1はサポートされていません。これはセキュリティ上の理由でこれ以上行われません。

出力からわかるように、openssl ciphers -vTLS 1.0およびTLS 1.1リストにない

解決策:

  • プロバイダに TLS 1.2 サポートを依頼する場合は、TLS 1.2 が必要です。
  • 新しいRHELバージョンを必要とする他のアプリケーションがある場合は、TLS 1.0またはTLS 1.1をサポートする以前のバージョンのRHELを使用して、実際のシステムログがそれを指していることを確認してください。
  • 以前のバージョンのopenssl + rsyslogを手動でコンパイルします。
  • または、古いrsyslogd rpmをインストールしてみてください(機能しない可能性があります)。
  • ユーザーとrsyslogの間の最後の手段としてSSLトンネルを確立し、他のバージョンも使用します。しかし、これを行うには、rsyslogそこで使用する方が良いです。

明らかに、時間が経つにつれて、近い将来にますます多くのTLS 1.2サポートが必要になるでしょう。

関連情報