我们现有的 rsyslog 使用 TLS 1.2 设置,我们只想升级到 TLS1.3。我已经在这里阅读了其他问题,但是当我设置完所有内容后,我没有收到任何日志。
“openssl ciphers -v | awk '{print $2}' | sort -u”的结果是:
SSLv3
TLSv1
TLSv1.2
TLSv1.3
在 /etc/ssh/openssl.cnf 中,我尝试添加 MinProtocol = TLSv1.3 和 MaxProtocol = TLSv1.3 。
我的 rsyslogd -v 是:rsyslogd 8.1901.0(又名 2019.01)编译为:
PLATFORM: x86_64-pc-linux-gnu
PLATFORM (lsb_release -d):
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
memory allocator: system default
Runtime Instrumentation (slow code): No
uuid support: Yes
systemd support: Yes
Number of Bits in RainerScript integers: 64
在服务器端,我的 /etc/rsyslog.d 中的 logserver.conf 是:
$DefaultNetstreamDriver gtls
# certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog-keys/ca.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog-keys/rsyslogServer-cert.pem
$DefaultNetstreamDriverKeyFile /etc/rsyslog-keys/rsyslogServer-key.pem
module(load="imtcp"
StreamDriver.mode="1"
StreamDriver.authmode="anon"
gnutlsprioritystring="SECURE128:-VERS-TLS-ALL:+VERS-TLS1.3"
)
有谁知道如何在我的系统上强制使用 TLS 1.3?
答案1
我终于让 TLS1.3 工作了。对于 CentOS 7,要使用 gnutls,请安装 rsyslog-8.29.0-3 和 rsyslog-gnutls-8.29.0-3。
然后在我的 rsyslog.d/tls1.3.conf 文件中输入:
module(load="imtcp"
StreamDriver.Mode="1"
StreamDriver.authmode="x509/name" # we use certs
gnutlsPriorityString="SECURE128:-VERS-TLS-All:+VERS-TLS1.3"
我尝试了更高版本的 rsyslog,但它们不起作用。
从以下位置获取 rsyslog rpm: rsyslog rpm
希望有帮助。