Назад | Перейти на главную страницу

rsyslog: одноранговое имя не авторизовано - не разрешено с ним разговаривать

Попытка настроить центральный сервер rsyslog с включенным TLS. До сих пор это была борьба, но я почти у цели. В настоящее время появляется эта ошибка:

rsyslogd: error: peer name not authorized -  not permitted to talk to
it. Names:  [v8.27.0 try http://www.rsyslog.com/e/2088 ]  
rsyslogd: netstream session 0x7fda34010110 from 10.0.4.91 will be closed due to
error  [v8.27.0 try http://www.rsyslog.com/e/2089 ]

Но я специально поместил этот IP в InputTCPServerStreamDriverPermittedPeer. Что могло быть не так? Я не могу избавиться от этой ошибки. Подтверждено, что моя конфигурация в порядке с

# rsyslogd -N1
rsyslogd: version 8.27.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

Моя конфигурация с несколькими удаленными элементами:

$ModLoad imuxsock # local messages

$ModLoad imtcp # TCP listener  

$ModLoad imjournal # provides access to the systemd journal

$DefaultNetstreamDriver gtls

$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ca.pem 

$DefaultNetstreamDriverCertFile /etc/rsyslog.d/machine-cert.pem 

$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/machine-key.pem 

$InputTCPServerStreamDriverAuthMode x509/name

$InputTCPServerStreamDriverPermittedPeer 10.0.4.91

$InputTCPServerStreamDriverMode 1 #run driver in TLS-only mode

$InputTCPServerRun 10514 #start up listener at port 10514

# Include all config files in /etc/rsyslog.d/

$IncludeConfig /etc/rsyslog.d/*.conf

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

Оказывается, клиент предоставил ненадежный сертификат.

Шаги, чтобы понять это:

  1. На клиенте запустите: openssl s_client -connect: 10514 и исправьте любые ошибки.

  2. на сервере запустите: openssl s_client -connect: 10514

  3. в rsyslogd.conf переключите: $ InputTCPServerStreamDriverAuthMode x509 / name на $ InputTCPServerStreamDriverAuthMode, что позволяет любому клиенту подключаться без авторизации клиента. Это должно позволить отправлять события.

Это сузило дело до проблемы с сертификатом клиента.

Ваш rsyslog разрешил клиенту TLS разговаривать с одноранговым узлом 10.0.4.91

$InputTCPServerStreamDriverPermittedPeer 10.0.4.91

Вы должны убедиться, что сертификат сервера CN=10.0.4.91

Настройка $InputTCPServerStreamDriverAuthMode к anon не рекомендуется как небезопасный.

Вы можете найти более подробную информацию на https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_errmsgs.html