vahidjameei
Goto Top

Sicherheit von Graylog

Hallo ihr lieben,

was schlagt ihr vor, Graylog (MongoDB und Elasticsearch) abzusichern.
Ich möchte wissen, ob es reicht, Benutzer und Kennwort für MongoDB und Elasticsearch einzurichten? oder was schlagt ihr merh vor?

Danke

Content-Key: 567997

Url: https://administrator.de/contentid/567997

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.04.2020 um 12:29:25 Uhr
Goto Top
Hallo,

in welchem Kontext denn? Ich befürchte aber, dass sich das so einfach nicht und insbesondere nicht umfassend klären lässt. Wenn du den Job übernommen hast, such dir am besten ergänzend Unterstützung, wenn du das Projekt steuerst, such dir auf jeden Fall Unterstützung.

Beste Grüße,

Christian
certifiedit.net
Mitglied: NetzwerkDude
NetzwerkDude 27.04.2020 um 21:27:44 Uhr
Goto Top
Es gibt für Elasticsearch noch so addons wie https://search-guard.com/ aber das macht das ganze noch komplexer, und "complexity breeds insecurity"

Bei MongoDB nicht nur Passwort setzen, sondern extra User für Graylog, nicht den root/administrator benutzen:
https://docs.mongodb.com/manual/tutorial/enable-authentication/

Ansonsten nicht vergessen Graylog selbst mit Passwort zu schützen - und dann am besten mit Fail2Ban via Log-Regex nach X fehlversuchen IPs sperren (geht halt nur bei IPv4).

Und die Maschinen (falls die Dienste auf verschiedenen sind) via Firewalls absichern und nur die kommunikation erlauben die nötig ist mit den gegenstellen die nötig sind.

Also wie immer halt face-smile

MFG
N-Dude
Mitglied: vahidjameei
vahidjameei 28.04.2020 um 09:47:01 Uhr
Goto Top
@NetzwerkDude
Danke sehr für deine Tipps. Ich recherchiere darüber...
Danke Danke


@certifiedit.net
leider bin ich noch Anfänger und konnte nicht gut erklären. Aber danke Dir.
Mitglied: ziqz00ma
ziqz00ma 18.06.2020 um 10:25:46 Uhr
Goto Top
Soll das Ding im Internet hängen oder in irgendeinem internen Netz?

Zitat von @vahidjameei:
leider bin ich noch Anfänger (...)

Unter der Voraussetzung empfehle ich dir:
  • Host-Firewall einrichten (iptables, o.ä.) und allen nicht-vorgesehenen eingehenden Traffic blocken (erlauben: ssh, related, established, local-to-local, ggf. icmp/ping)
  • pauschal alle Dienste nur auf Localhost lauschen lassen (in Elasticsearch bspw. über "network.host: 127.0.0.1" oder "network.host: _local:ipv4_")
  • extern erreichbare Dienste punktuell freigeben (bspw. einen Pound- oder Nginx-Reverse-Proxy, welcher mittels proxy_pass auf dein Graylog zeigt)
  • für extra Punkte könntest du auf dem Reverse Proxy noch zertifikatsbasierte Authentisierung einrichten (XCA bietet sich dafür als grafisches Tool an)