TLS 1.3 仅适用于 Debian 和 CentOS 上的 rsyslog

TLS 1.3 仅适用于 Debian 和 CentOS 上的 rsyslog

我们现有的 rsyslog 使用 TLS 1.2 设置,我们只想升级到 TLS1.3。我已经在这里阅读了其他问题,但是当我设置完所有内容后,我没有收到任何日志。

“openssl ciphers -v | awk '{print $2}' | sort -u”的结果是:

SSLv3
TLSv1
TLSv1.2
TLSv1.3

在 /etc/ssh/openssl.cnf 中,我尝试添加 MinProtocol = TLSv1.3 和 MaxProtocol = TLSv1.3 。

我的 rsyslogd -v 是:rsyslogd 8.1901.0(又名 2019.01)编译为:

PLATFORM:               x86_64-pc-linux-gnu
    PLATFORM (lsb_release -d):      
    FEATURE_REGEXP:             Yes
    GSSAPI Kerberos 5 support:      Yes
    FEATURE_DEBUG (debug build, slow code): No
    32bit Atomic operations supported:  Yes
    64bit Atomic operations supported:  Yes
    memory allocator:           system default
    Runtime Instrumentation (slow code):    No
    uuid support:               Yes
    systemd support:            Yes
    Number of Bits in RainerScript integers: 64

在服务器端,我的 /etc/rsyslog.d 中的 logserver.conf 是:

$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog-keys/ca.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog-keys/rsyslogServer-cert.pem
$DefaultNetstreamDriverKeyFile /etc/rsyslog-keys/rsyslogServer-key.pem

module(load="imtcp"
        StreamDriver.mode="1"
        StreamDriver.authmode="anon"
        gnutlsprioritystring="SECURE128:-VERS-TLS-ALL:+VERS-TLS1.3"
)

有谁知道如何在我的系统上强制使用 TLS 1.3?

答案1

我终于让 TLS1.3 工作了。对于 CentOS 7,要使用 gnutls,请安装 rsyslog-8.29.0-3 和 rsyslog-gnutls-8.29.0-3。

然后在我的 rsyslog.d/tls1.3.conf 文件中输入:

module(load="imtcp"
   StreamDriver.Mode="1"
   StreamDriver.authmode="x509/name"          # we use certs
   gnutlsPriorityString="SECURE128:-VERS-TLS-All:+VERS-TLS1.3"

我尝试了更高版本的 rsyslog,但它们不起作用。

从以下位置获取 rsyslog rpm: rsyslog rpm

希望有帮助。

相关内容