Rsyslog TLS Konfiguration

Server Konfiguration

RSyslog mit GnuTLS installieren:

apt-get install rsyslog-gnutls

CA erstellen:

cd /etc/rsyslog.d/ssl
openssl genrsa -out CA-key.pem 4096
openssl req -x509 -new -nodes -key CA-key.pem -sha256 -days 3650 -out CA-cert.pem
openssl genrsa -out server-key.pem 4096
openssl req -new -sha256 -key server-key.pem -out server-csr.pem
openssl x509 -req -in server-csr.pem -CA CA-cert.pem -CAkey CA-key.pem -CAcreateserial -out server-cert.pem -days 3650 -sha256
rm server-csr.pem
chmod 400 server-key.pem CA-key.pem
vi /etc/rsyslog.d/99-local.conf
# load tcp listener
$ModLoad imtcp

# make gtls driver the default
$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ssl/CA-cert.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/ssl/server-cert.pem
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/ssl/server-key.pem

$InputTCPServerStreamDriverMode 1
$InputTCPServerStreamDriverAuthMode anon
$InputTCPServerRun 10514

Daemon neustarten:

systemctl restart rsyslog

Client Konfiguration

RSyslog mit GnuTLS installieren:

apt-get install rsyslog-gnutls

Konfiguration anpassen:

vi /etc/rsyslog.d/99-local.conf
# drop messages
:msg, contains, "192.168.1.33" stop
:msg, contains, "192.168.1.32" stop

# certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ssl/CA-cert.pem
$ActionSendStreamDriver gtls
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode anon

# send all messages to remote syslog server with tls
*.* @@rsyslogserver.local:10514

Das CA Zertifikat auf den Clients unter /etc/rsyslog.d/ssl/CA-cert.pem speichern.

Daemon neustarten:

systemctl restart rsyslog

Sie haben weitere Fragen zu dieser Anleitung und möchten gerne mehr Informationen oder brauchen Unterstützung? Wir helfen Ihnen gerne, unsere Kontaktdaten finden Sie hier: https://df-informatik.ch/kontakt/