我正在考虑使用 papertrailapp.com 提供的一项服务(其他类似服务包括 loggly 和 splunk),您可以在其中配置 syslog 以通过 udp 向其回显事件。它涉及将此条目添加到 /etc/rsyslog.conf
*.* @logs.papertrailapp.com:12345 (where 12345 is a port unique to my account)
所以我的问题是,这安全吗?有人难道不能嗅探流量并查看我服务器的日志输出吗?
答案1
不,它不安全。如果他们能嗅探到流量,他们不仅可以查看日志输出,还可以伪造来自您系统的日志消息。
您应该考虑使用现代 syslog 实现线性规划。我认为 RELP 仍然不够安全,不足以满足您的要求(尽管我可能错了),但它比标准的轻量级 UDP 系统日志协议要好得多。此外,它还很可靠(“RELP”中的“R”),因此它更适合通过 WAN 进行传输。
答案2
没有什么是 100%“安全的”。您需要决定哪些东西值得防范,哪些东西是您特定环境中的假想问题。例如,“黑客”很少会坐在有线网络中间嗅探流量,只有 ISP 和政府会这样做。
如果你想保护你的流量不受政府和 ISP 的监控,那么 UDP 传输确实不安全。如果你不关心这些,那么 UDP 就足够了。
关于欺骗信息 - 同样的故事 - 决定它是否困扰你,然后采取相应的行动。