このディレクティブは、ログサーバとしてrsyslogを稼動させた場合に、シスログを受け取るべき
ホストやネットワークを制限する為に使います。
※なんでもかんでも送られてきたシスログを受け取ってはまずいので
まずは正しい記述からです。
TCPとUDPの両方に制限が必要な場合、以下のようにそれぞれを分けて記述する必要があります。
$ModLoad imudp
$UDPServerRun 514
$AllowedSender UDP, 127.0.0.1, *.example.jp, 192.168.0.0/24
$ModLoad imtcp
$InputTCPServerRun 514
$AllowedSender TCP, 127.0.0.1, *.example.jp, 192.168.0.0/24
次に、結構良く見かける間違った記述についてです。
※TCPとUDPを一行で設定できると考えたのだと思うのですが、以下のように
記述してるケースです。
$AllowedSender TCP, UDP,127.0.0.1, *.example.jp, 192.168.0.0/24
この場合の”UDP”部分はホスト名として扱われてしまい、ログにもその旨が表示されます。
rsyslogd: DNS error: Can't resolve "UDP"
ryslogd: Hostname "UDP" WON'T be added to ACL.
で、厄介なことに$AllowedSenderのデフォルトは、"all allowed"なので、この場合は
UDPに全く制限がかかっていない事にご注意ください。。
0 件のコメント:
コメントを投稿