我正在寻找一种方法来加密我们主机和 Debian 世界中的日志主机之间的流量。rsyslog 使用 ommysql 模块,并且服务器已配置为仅通过 SSL 接受用户的请求(GRANT USAGE ON *.* TO testssl@loghost REQUIRE SSL;)。
我已经尝试为 rsyslog 创建 my.cnf。我通过文件MySQLConfig.File=...中的参数将其提供给 ommysql 模块/etc/rsyslog.d/mysql.conf。
my.cnf的内容:
[client]
ssl = 1
(我首先尝试使用ssl-mode=REQUIRED,但完全失败了;显然我当前的 debian buster 仍然不支持此选项)。
还有什么我没看到的吗?
答案1
我认为我至少找到了一个可能的解决方案:在创建和配置客户端证书到my.cnf用于 rsyslog 设置的证书时,连接可以正常工作。这当然会带来更多的安全性,尽管我希望我们不需要做这些额外的工作。
[client]
ssl = 1
ssl-ca=/etc/rsyslog.d/ca-cert.pem
ssl-cert=/etc/rsyslog.d/client-cert.pem
ssl-key=/etc/rsyslog.d/client-key.pem
这些文件可能有更好的地方,至少权限只允许 root 读取它们。