Saya sedang mempertimbangkan untuk menggunakan layanan dari papertrailapp.com (layanan serupa lainnya adalah loggly dan splunk), di mana Anda mengkonfigurasi syslog Anda untuk menggemakan acara lebih dari udp. Ini melibatkan penambahan entri ini ke /etc/rsyslog.conf
*.* @logs.papertrailapp.com:12345 (where 12345 is a port unique to my account)
Jadi pertanyaan saya adalah, apakah ini aman? Tidak bisakah seseorang mengendus lalu lintas dan menonton keluaran log dari server saya?
Jawaban:
Tidak, ini tidak aman. Mereka tidak hanya dapat menonton keluaran log jika mereka dapat mengendus lalu lintas, tetapi mereka juga dapat memalsukan pesan log yang berasal dari sistem Anda.
Anda harus mempertimbangkan untuk menggunakan implementasi syslog modern dengan RELP . Saya percaya RELP masih belum cukup aman untuk apa yang Anda minta (meskipun saya mungkin salah) tetapi jauh lebih baik daripada protokol syslog UDP ringan standar. Juga dapat diandalkan ("R" dalam "RELP") sehingga jauh lebih baik untuk transmisi melalui WAN.
Tidak ada yang 100% "aman". Anda perlu memutuskan apa yang layak dilindungi dan apa yang merupakan masalah imajiner di lingkungan spesifik Anda. Misalnya, "peretas" jarang duduk di tengah-tengah jaringan kabel menghirup lalu lintas, hanya ISP dan pemerintah yang melakukannya.
Jika Anda ingin melindungi lalu lintas Anda dari pengawasan pemerintah dan ISP Anda, maka ya, transportasi UDP tidak aman. Jika Anda tidak peduli dengan itu, maka UDP cukup baik.
Memalsukan kembali pesan - kisah yang sama - memutuskan apakah itu mengganggu Anda dan kemudian bertindak sesuai.