Day 19: 安全加固與權限管理

2025 iThome 鐵人賽

DAY 19

DevOps

從零開始的 graylog 探險系列第 19 篇

17th鐵人賽

Kannazuki

團隊組隊最大障礙：隊名

2025-10-03 23:31:28

99 瀏覽

分享至

在現代日誌平台中，安全性是極為重要卻常被開發者忽略的一塊 (~~能動就好~~)。
Graylog 提供多層次的安全機制，協助保護系統與資料不受 未經授權 的存取或竄改。

安全基礎概念

在設計日誌系統時，需要留意以下三大面向：

機密性（Confidentiality）：只有授權用戶能看到敏感日誌。
完整性（Integrity）：確保日誌在傳輸與儲存過程中不被竄改。
可用性（Availability）：系統能持續穩定運作，避免因攻擊或故障中斷日誌的收集與查詢。

用戶與權限管理

內建角色

Graylog 預設提供數個角色：Admin、Reader、Editor 等。

Admin：可管理整個系統。
Editor：可編輯 Streams、Dashboard、Alerts。
Reader：僅能檢視日誌與儀表板。

RBAC 概念

透過「角色型存取控制（Role-Based Access Control）」將權限分派給角色，再將角色指派給用戶或團隊。

# 建立自訂角色 example-role
curl -X POST "http://<graylog-url>:9000/api/roles" \
  -u admin:<password> \
  -H "Content-Type: application/json" \
  -H "X-Requested-By: CLI" \
  -d '{
    "name": "example-role",
    "description": "僅能讀取特定 Streams",
    "permissions": ["streams:read","dashboards:read"]
  }'

# 將角色指派給用戶
curl -X PUT "http://localhost:9000/api/users/<user-id>" \
  -u admin:<password> \
  -H "Content-Type: application/json" \
  -H "X-Requested-By: CLI" \
  -d '["example-role"]'
  '{"roles": ["Reader", "example-role"]}'

傳輸層安全（TLS）配置

啟用 HTTPS

取得或自簽 SSL 憑證檔 graylog.crt 與私鑰 graylog.key。

在 server.conf 設定：

http_enable_tls = true
http_tls_cert_file = /etc/graylog/ssl/graylog.crt
http_tls_key_file  = /etc/graylog/ssl/graylog.key

重啟 Graylog
```
systemctl restart graylog-server
```

輸入源 TLS 加密

對於 Syslog、Beats 等輸入，可強制 TLS 連線，確保日誌傳輸過程加密。

身份驗證整合

LDAP / Active Directory

在 server.conf 中啟用 LDAP：

auth_backend = ldap
ldap_hosts = ldap://ad.example.com:389
ldap_search_base = dc=example,dc=com
ldap_user_dn_pattern = cn={0},ou=Users,dc=example,dc=com

SAML 與 OIDC

6.3 版本加入對 OIDC 的原生支援，能快速與 Keycloak、Okta 等身份服務整合：

# example oidc.conf
auth_service:
  name: oidc
  type: oidc
  oidc_issuer_url: https://keycloak.example.com/auth/realms/demo
  client_id: graylog-client
  client_secret: somesecret