Попытка настроить центральный сервер rsyslog с включенным TLS. До сих пор это была борьба, но я почти у цели. В настоящее время появляется эта ошибка:
rsyslogd: error: peer name not authorized - not permitted to talk to
it. Names: [v8.27.0 try http://www.rsyslog.com/e/2088 ]
rsyslogd: netstream session 0x7fda34010110 from 10.0.4.91 will be closed due to
error [v8.27.0 try http://www.rsyslog.com/e/2089 ]
Но я специально поместил этот IP в InputTCPServerStreamDriverPermittedPeer
. Что могло быть не так? Я не могу избавиться от этой ошибки. Подтверждено, что моя конфигурация в порядке с
# rsyslogd -N1
rsyslogd: version 8.27.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.
Моя конфигурация с несколькими удаленными элементами:
$ModLoad imuxsock # local messages
$ModLoad imtcp # TCP listener
$ModLoad imjournal # provides access to the systemd journal
$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ca.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/machine-cert.pem
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/machine-key.pem
$InputTCPServerStreamDriverAuthMode x509/name
$InputTCPServerStreamDriverPermittedPeer 10.0.4.91
$InputTCPServerStreamDriverMode 1 #run driver in TLS-only mode
$InputTCPServerRun 10514 #start up listener at port 10514
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none /var/log/messages
Оказывается, клиент предоставил ненадежный сертификат.
Шаги, чтобы понять это:
На клиенте запустите: openssl s_client -connect: 10514 и исправьте любые ошибки.
на сервере запустите: openssl s_client -connect: 10514
в rsyslogd.conf переключите: $ InputTCPServerStreamDriverAuthMode x509 / name на $ InputTCPServerStreamDriverAuthMode, что позволяет любому клиенту подключаться без авторизации клиента. Это должно позволить отправлять события.
Это сузило дело до проблемы с сертификатом клиента.
Ваш rsyslog разрешил клиенту TLS разговаривать с одноранговым узлом 10.0.4.91
$InputTCPServerStreamDriverPermittedPeer 10.0.4.91
Вы должны убедиться, что сертификат сервера CN=10.0.4.91
Настройка $InputTCPServerStreamDriverAuthMode
к anon
не рекомендуется как небезопасный.
Вы можете найти более подробную информацию на https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_errmsgs.html