4
Sicherheit von Graylog
Hallo ihr lieben,
was schlagt ihr vor, Graylog (MongoDB und Elasticsearch) abzusichern.
Ich möchte wissen, ob es reicht, Benutzer und Kennwort für MongoDB und Elasticsearch einzurichten? oder was schlagt ihr merh vor?
Danke
was schlagt ihr vor, Graylog (MongoDB und Elasticsearch) abzusichern.
Ich möchte wissen, ob es reicht, Benutzer und Kennwort für MongoDB und Elasticsearch einzurichten? oder was schlagt ihr merh vor?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 567997
Url: https://administrator.de/contentid/567997
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
in welchem Kontext denn? Ich befürchte aber, dass sich das so einfach nicht und insbesondere nicht umfassend klären lässt. Wenn du den Job übernommen hast, such dir am besten ergänzend Unterstützung, wenn du das Projekt steuerst, such dir auf jeden Fall Unterstützung.
Beste Grüße,
Christian
certifiedit.net
in welchem Kontext denn? Ich befürchte aber, dass sich das so einfach nicht und insbesondere nicht umfassend klären lässt. Wenn du den Job übernommen hast, such dir am besten ergänzend Unterstützung, wenn du das Projekt steuerst, such dir auf jeden Fall Unterstützung.
Beste Grüße,
Christian
certifiedit.net
1
Es gibt für Elasticsearch noch so addons wie https://search-guard.com/ aber das macht das ganze noch komplexer, und "complexity breeds insecurity"
Bei MongoDB nicht nur Passwort setzen, sondern extra User für Graylog, nicht den root/administrator benutzen:
https://docs.mongodb.com/manual/tutorial/enable-authentication/
Ansonsten nicht vergessen Graylog selbst mit Passwort zu schützen - und dann am besten mit Fail2Ban via Log-Regex nach X fehlversuchen IPs sperren (geht halt nur bei IPv4).
Und die Maschinen (falls die Dienste auf verschiedenen sind) via Firewalls absichern und nur die kommunikation erlauben die nötig ist mit den gegenstellen die nötig sind.
Also wie immer halt
MFG
N-Dude
Bei MongoDB nicht nur Passwort setzen, sondern extra User für Graylog, nicht den root/administrator benutzen:
https://docs.mongodb.com/manual/tutorial/enable-authentication/
Ansonsten nicht vergessen Graylog selbst mit Passwort zu schützen - und dann am besten mit Fail2Ban via Log-Regex nach X fehlversuchen IPs sperren (geht halt nur bei IPv4).
Und die Maschinen (falls die Dienste auf verschiedenen sind) via Firewalls absichern und nur die kommunikation erlauben die nötig ist mit den gegenstellen die nötig sind.
Also wie immer halt
MFG
N-Dude
1
@NetzwerkDude
Danke sehr für deine Tipps. Ich recherchiere darüber...
Danke Danke
@certifiedit.net
leider bin ich noch Anfänger und konnte nicht gut erklären. Aber danke Dir.
Danke sehr für deine Tipps. Ich recherchiere darüber...
Danke Danke
@certifiedit.net
leider bin ich noch Anfänger und konnte nicht gut erklären. Aber danke Dir.
Soll das Ding im Internet hängen oder in irgendeinem internen Netz?
Unter der Voraussetzung empfehle ich dir:
Unter der Voraussetzung empfehle ich dir:
- Host-Firewall einrichten (iptables, o.ä.) und allen nicht-vorgesehenen eingehenden Traffic blocken (erlauben: ssh, related, established, local-to-local, ggf. icmp/ping)
- pauschal alle Dienste nur auf Localhost lauschen lassen (in Elasticsearch bspw. über "network.host: 127.0.0.1" oder "network.host: _local:ipv4_")
- extern erreichbare Dienste punktuell freigeben (bspw. einen Pound- oder Nginx-Reverse-Proxy, welcher mittels proxy_pass auf dein Graylog zeigt)
- für extra Punkte könntest du auf dem Reverse Proxy noch zertifikatsbasierte Authentisierung einrichten (XCA bietet sich dafür als grafisches Tool an)
