我最近在防火墙后面构建了一个 Ubuntu syslog-ng 服务器。我打开了 TCP 端口 514、515 和 516。我注意到黑客正在向我的 syslog-ng 服务器写信,他们来自中国。我该如何防止黑客入侵我的 syslog 服务器,使其只接收来自特定服务器的日志条目?最好的方法是什么?我应该通过 iptables(这可能很繁琐)还是通过 syslog-ng 服务器上的 syslog-ng.conf 文件来做到这一点?
答案1
您忘记了创建防火墙策略时的主要规则:最小特权原则。
你的防火墙策略/例外应该仅允许访问已知系统,而不是整个互联网,除非您确实在提供公共服务。
系统日志服务器是一种内部审计工具,在大多数网络设计中,它根本不应该从互联网访问,但如果需要,它应该只对特定系统可用。
一般来说,防火墙更适合维护基于 IP 地址的 ACL。
并非所有应用程序都首先具有本机支持,而对于那些允许您配置基于 IP 地址的访问控制的应用程序,它们都将使用不同的语法,这使得在需要时难以快速准确地更改 ACL。