centos syslog如何加密

在CentOS系统中为Syslog加密：一份实战指南

在系统运维中，日志安全的重要性不言而喻。当syslog消息在网络中明文传输时，无异于将系统内部信息暴露在外。那么，如何为CentOS系统中的syslog通信套上一层“保护罩”呢？核心思路就是为其启用加密传输。下图直观地展示了这一过程的核心概念：

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

接下来，我们将深入两种主流方案的具体配置步骤。放心，整个过程逻辑清晰，只要按部就班操作即可。

1. 使用TLS/SSL加密传输

这是目前最普遍、也最推荐的方法，通过TLS/SSL协议为syslog流量加密。无论是使用默认的rsyslog，还是功能更强大的syslog-ng，其原理都是相通的：在服务器端和客户端配置证书，建立安全的通信通道。

配置Syslog服务器

服务器端是接收加密日志的终点，需要准备好“身份凭证”（证书）。

1. 安装必要的软件包：首先，确保系统已安装支持TLS的rsyslog组件。

   sudo yum install -y rsyslog rsyslog-tls

2. 生成SSL证书和密钥：这是建立信任的关键一步。运行以下命令生成自签名证书（生产环境建议使用受信任的CA签发）。

   sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/pki/tls/private/syslog.key -out /etc/pki/tls/certs/syslog.crt

3. 配置rsyslog使用TLS：编辑/etc/rsyslog.conf或在/etc/rsyslog.d/目录下创建新配置文件（例如50-tls.conf）。关键是要加载TLS模块并指定证书路径。一个基础的监听配置示例如下：

   module(load="imtcp" StreamDriver.Name="gtls" StreamDriver.Mode="1" StreamDriver.AuthMode="x509/name")
   input(type="imtcp" port="514" protocol="tcp6")
   
   template(name="SecureFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %app-name% %procid%%msgid% %STRUCTURED-DATA% %$!\n")
   
   global(
       DefaultNetstreamDriver="gtls"
       DefaultNetstreamDriverCAFile="/etc/pki/tls/certs/syslog.crt"
       DefaultNetstreamDriverCertFile="/etc/pki/tls/certs/syslog.crt"
       DefaultNetstreamDriverKeyFile="/etc/pki/tls/private/syslog.key"
   )

4. 重启rsyslog服务：让配置生效。

   sudo systemctl restart rsyslog

配置Syslog客户端

客户端负责将日志加密后发送给服务器，配置相对更简单。

1. 安装必要的软件包：客户端通常只需基础包。

   sudo yum install -y rsyslog

2. 配置rsyslog发送加密消息：同样编辑配置文件，指定使用TCP/TLS协议转发到服务器，并信任服务器的证书。

   module(load="omfwd")
   
   template(name="SecureFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %app-name% %procid%%msgid% %STRUCTURED-DATA% %$!\n")
   
   action(
       type="omfwd"
       target="your.syslog.server"
       port="514"
       protocol="tcp"
       StreamDriver="gtls"
       StreamDriverMode="1"
       StreamDriverAuthMode="x509/name"
       StreamDriverPermittedPeers="*.yourdomain.com"
       template="SecureFormat"
   )

   注意，需要将your.syslog.server和*.yourdomain.com替换为实际的服务器地址和证书通用名。

3. 重启rsyslog服务：

   sudo systemctl restart rsyslog

2. 使用Syslog-ng和TLS/SSL

如果你偏好功能更灵活的Syslog-ng，其配置逻辑与rsyslog类似，但语法结构有所不同。下面看看如何操作。

配置Syslog-ng服务器

1. 安装必要的软件包：

   sudo yum install -y syslog-ng

2. 生成SSL证书和密钥：步骤与上文完全相同。

   sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/pki/tls/private/syslog.key -out /etc/pki/tls/certs/syslog.crt

3. 配置Syslog-ng使用TLS：编辑/etc/syslog-ng/syslog-ng.conf。核心是定义一个使用TLS驱动的网络源（source）。

   @version: 3.24
   
   options {
       chain_hostnames(off);
       use_dns(no);
       create_dirs(yes);
   };
   
   source s_net_tls {
       network(
           ip(0.0.0.0)
           port(6514)
           transport("tls")
           tls(
               key-file("/etc/pki/tls/private/syslog.key")
               cert-file("/etc/pki/tls/certs/syslog.crt")
           )
       );
   };
   
   destination d_local {
       file("/var/log/secure_remote.log");
   };
   
   log {
       source(s_net_tls);
       destination(d_local);
   };

4. 重启Syslog-ng服务：

   sudo systemctl restart syslog-ng

配置Syslog-ng客户端

1. 安装必要的软件包：

   sudo yum install -y syslog-ng

2. 配置Syslog-ng发送加密消息：在客户端配置中，需要定义一个使用TLS的目标（destination）。

   @version: 3.24
   
   options {
       chain_hostnames(off);
       use_dns(no);
       create_dirs(yes);
   };
   
   destination d_net_tls {
       network(
           "your.syslog.server"
           port(6514)
           transport("tls")
           tls(
               peer-verify(required-trusted)
               ca-dir("/etc/pki/tls/certs/")
           )
       );
   };
   
   log {
       source(s_sys); # 使用默认的系统日志源
       destination(d_net_tls);
   };

   此处，peer-verify(required-trusted)要求验证服务器证书，且证书必须位于客户端信任的ca-dir目录中。

3. 重启Syslog-ng服务：

   sudo systemctl restart syslog-ng

完成以上任一方案的配置后，你的syslog消息在传输过程中就不再是“裸奔”状态了。无论是rsyslog还是syslog-ng，通过TLS/SSL加密，都能有效防止日志在传输途中被窃听或篡改，这无疑是提升整个系统安全水平的关键一步。实际操作时，请务必根据你的网络环境和具体需求，仔细核对服务器地址、端口和证书路径等参数。