centos:web_c7:graylog

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:web_c7:graylog [04.01.2016 22:54. ] – TLS-Absicherung des rsyslog-/graylog-Verkehrs unter #CentOS7 #graylog #rsyslog #TLS djangocentos:web_c7:graylog [22.07.2019 14:59. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 474: Zeile 474:
  
 ==== MongoDB ==== ==== MongoDB ====
-Obwohl in der **MongoDB** nur Metainformationen gespeichert und vorgehalten werden, wollen wir diese NoSQL-Datenbank absichern, indem wir einen Datenbakbenutzer mit Passwort anlegen. Somit ist sichergestellt, dass kein unbefugter Daten der MongoDB abrufen, ändern odfer gar löschen kann.+Obwohl in der **MongoDB** nur Metainformationen gespeichert und vorgehalten werden, wollen wir diese NoSQL-Datenbank absichern, indem wir einen Datenbankbenutzer mit Passwort anlegen. Somit ist sichergestellt, dass kein unbefugter Daten der MongoDB abrufen, ändern oder gar löschen kann.
  
 === Start des Daemon === === Start des Daemon ===
Zeile 1482: Zeile 1482:
  
 Den Serverstatus können wir wie folgt abfragen. Den Serverstatus können wir wie folgt abfragen.
-   # systemctl status mongod.service+   # systemctl status elasticsearch.service
  
 <html><pre class="code"> <html><pre class="code">
Zeile 2316: Zeile 2316:
 Die installationsspezifische kundenindividuelle Konfiguration der **graylog-web GUI** wird über dessen Konfigurationsdatei //**/etc/graylog/web/web.conf**// vorgenommen.  Die installationsspezifische kundenindividuelle Konfiguration der **graylog-web GUI** wird über dessen Konfigurationsdatei //**/etc/graylog/web/web.conf**// vorgenommen. 
  
-Wie schon bei der KOnfiguration des **[[centos:web_c7:graylog#etc_graylog_server_serverconf|graylog-server]]**'erstellen wir uns, vor der Bearbeitung der Konfigurationsdatei, noch einen **Passwort-Hash**, mit dem die Nutzerpassworte verschlüsselt werden. Diesen hash-Wert erstellen wir wie folgt:  +Wie schon bei der Konfiguration des **[[centos:web_c7:graylog#etc_graylog_server_serverconf|graylog-servers]]** erstellen wir uns, vor der Bearbeitung der Konfigurationsdatei, noch einen **Passwort-Hash**, mit dem die Nutzerpassworte verschlüsselt werden. Diesen hash-Wert erstellen wir wie folgt:  
-   # pwgen -N 1 -s 128</code>+   # pwgen -N 1 -s 128
  
   KM2OhCgRuTJe9f7bOr0uOtGcX45TB5kmF4L4Ty44bRUlu1y2qh0eDbs613Bv4QFk0ftGzuASpSW5DDBqpSKIlcdI39WdVHBSo33AoPZgKiABd7G7FduhKIMZVjiE7lod   KM2OhCgRuTJe9f7bOr0uOtGcX45TB5kmF4L4Ty44bRUlu1y2qh0eDbs613Bv4QFk0ftGzuASpSW5DDBqpSKIlcdI39WdVHBSo33AoPZgKiABd7G7FduhKIMZVjiE7lod
Zeile 2943: Zeile 2943:
 <font style="color: rgb(0, 0, 0)"># </font><font style="color: rgb(0, 0, 255)"><b><i>shred -u /etc/pki/tls/serverkey.pem</i></b></font> <font style="color: rgb(0, 0, 0)"># </font><font style="color: rgb(0, 0, 255)"><b><i>shred -u /etc/pki/tls/serverkey.pem</i></b></font>
 </pre></html> </pre></html>
 +
 +<WRAP center round important 90%>
 +**Wichtig**: \\
 +Damit **graylog** den soeben erzeugten Schlüssel später auch laden kann, müssen wir diesen erst noch in das passende **[[https://tools.ietf.org/html/rfc5208|PKCS #8 Format]]** konvertiert werden. Ein Versuch den originären **PKCS #1** Schlüssel zu laden würde andernfalls **graylog** mit folgendem Fehler quittieren. <code>2015-12-23T23:42:21.666+01:00 WARN  [AbstractNioSelector] Failed to initialize an accepted socket.
 +java.lang.IllegalArgumentException: Unsupported key type PKCS#1, please convert to PKCS#8</code> 
 +</WRAP>
 +
 +Wir konvertieren also noch den Schlüssel in das passende Format mit folgendem **openssl** Kommando.
 +<html><pre class="code">
 +<font style="color: rgb(0, 0, 0)"># </font><font style="color: rgb(0, 0, 255)"><b><i>openssl pkcs8 -topk8 -in /etc/pki/tls/private/graylog-server.dmz.nausch.org.key.pem \
 +          -inform pem -out /etc/pki/tls/private/graylog-server.dmz.nausch.org.key_pk8.pem -outform pem -nocrypt</i></b></font>
 +</pre></html>
 +
 +Graylog selbst läuft mit den Nutzerrechten des Users **graylog**; wir müssen also auch noch dafür sorgen, dass der User graylog den Schlüssel auch lesen darf. Wir ändern daher die Berechtigungen wie folgt:
 +<html><pre class="code">
 +<font style="color: rgb(0, 0, 0)"># </font><font style="color: rgb(0, 0, 255)"><b><i>chown graylog.root /etc/pki/tls/private/graylog-server.dmz.nausch.org.key_pk8.pem</i></b></font>
 +</pre></html>
 +
  
 === CSR erstellen === === CSR erstellen ===
Zeile 3716: Zeile 3734:
   * **TLS client authentication (optional)** = required   * **TLS client authentication (optional)** = required
   * **TLS Client Auth Trusted Certs (optional)** = /etc/pki/tls/graylog-client-certs   * **TLS Client Auth Trusted Certs (optional)** = /etc/pki/tls/graylog-client-certs
 +  * **Enable TLS (optional) 
 +  * **TCP keepalive (optional)
  
-{{ :centos:web_c7:graylog_tls_001.png?direct&500 |Bild: graylog Konfiguration Input (TCP/TLS)}}+{{ :centos:web_c7:graylog_tls_001.png?direct&505 |Bild: graylog Konfiguration Input (TCP/TLS)}}
  
 Über die Schaltfläche **[ Update input ]** verlassen und speichern wir unsere Änderungen. Über die Schaltfläche **[ Update input ]** verlassen und speichern wir unsere Änderungen.
Zeile 3799: Zeile 3819:
   * **$DefaultNetstreamDriverKeyFile // /etc/pki/tls/private/rsyslog.vml000037.dmz.nausch.org.key.pem//**   * **$DefaultNetstreamDriverKeyFile // /etc/pki/tls/private/rsyslog.vml000037.dmz.nausch.org.key.pem//**
   * **$ActionSendStreamDriverAuthMode //x509/name//**   * **$ActionSendStreamDriverAuthMode //x509/name//**
 +  * **$ActionSendStreamDriverPermittedPeer //graylog-server.dmz.nausch.org//**
   * **$ActionSendStreamDriverMode //1//**   * **$ActionSendStreamDriverMode //1//**
  
Zeile 3859: Zeile 3880:
  
 $ActionSendStreamDriverAuthMode x509/name $ActionSendStreamDriverAuthMode x509/name
-#$ActionSendStreamDriverPermittedPeer graylog-server.nausch.org+$ActionSendStreamDriverPermittedPeer graylog-server.dmz.nausch.org
 #          run driver in TLS-only mode #          run driver in TLS-only mode
 $ActionSendStreamDriverMode 1 $ActionSendStreamDriverMode 1
Zeile 3934: Zeile 3955:
    $ firefox https://graylog.nausch.org/system/inputs    $ firefox https://graylog.nausch.org/system/inputs
    
-{{ :centos:web_c7:graylog_tls_input.png?direct&800 |Bild: konfigurierter graylog Input Kanal mit TLS}}+{{ :centos:web_c7:graylog_tls_input.png?direct&810 |Bild: konfigurierter graylog Input Kanal mit TLS}}
  
 Alles in allem können wir feststellen, dass mit einem überschaubaren Aufwand, die Kommunikation zwischen den rsyslog-Clients und unserem graylog-server sicher und nur noch von authorisierten Quellen gestattet werden kann. Alles in allem können wir feststellen, dass mit einem überschaubaren Aufwand, die Kommunikation zwischen den rsyslog-Clients und unserem graylog-server sicher und nur noch von authorisierten Quellen gestattet werden kann.
Zeile 3943: Zeile 3964:
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~AUTOTWEET:~~ 
-~~DISCUSSION~~ 
  
  • centos/web_c7/graylog.1451948066.txt.gz
  • Zuletzt geändert: 04.01.2016 22:54.
  • (Externe Bearbeitung)