iT邦幫忙

2025 iThome 鐵人賽

DAY 19
0
DevOps

從零開始的 graylog 探險系列 第 19

Day 19: 安全加固與權限管理

  • 分享至 

  • xImage
  •  

在現代日誌平台中,安全性是極為重要卻常被開發者忽略的一塊 (能動就好)。
Graylog 提供多層次的安全機制,協助保護系統與資料不受 未經授權 的存取或竄改。

安全基礎概念

在設計日誌系統時,需要留意以下三大面向:

  • 機密性(Confidentiality):只有授權用戶能看到敏感日誌。
  • 完整性(Integrity):確保日誌在傳輸與儲存過程中不被竄改。
  • 可用性(Availability):系統能持續穩定運作,避免因攻擊或故障中斷日誌的收集與查詢。

用戶與權限管理

內建角色

Graylog 預設提供數個角色:AdminReaderEditor 等。

  • Admin:可管理整個系統。
  • Editor:可編輯 Streams、Dashboard、Alerts。
  • Reader:僅能檢視日誌與儀表板。

RBAC 概念

透過「角色型存取控制(Role-Based Access Control)」將權限分派給角色,再將角色指派給用戶或團隊。

# 建立自訂角色 example-role
curl -X POST "http://<graylog-url>:9000/api/roles" \
  -u admin:<password> \
  -H "Content-Type: application/json" \
  -H "X-Requested-By: CLI" \
  -d '{
    "name": "example-role",
    "description": "僅能讀取特定 Streams",
    "permissions": ["streams:read","dashboards:read"]
  }'
# 將角色指派給用戶
curl -X PUT "http://localhost:9000/api/users/<user-id>" \
  -u admin:<password> \
  -H "Content-Type: application/json" \
  -H "X-Requested-By: CLI" \
  -d '["example-role"]'
  '{"roles": ["Reader", "example-role"]}'

傳輸層安全(TLS)配置

啟用 HTTPS

  1. 取得或自簽 SSL 憑證檔 graylog.crt 與私鑰 graylog.key
  2. server.conf 設定:
    http_enable_tls = true
    http_tls_cert_file = /etc/graylog/ssl/graylog.crt
    http_tls_key_file  = /etc/graylog/ssl/graylog.key
    
  3. 重啟 Graylog
    systemctl restart graylog-server
    

輸入源 TLS 加密

對於 Syslog、Beats 等輸入,可強制 TLS 連線,確保日誌傳輸過程加密。

身份驗證整合

LDAP / Active Directory

server.conf 中啟用 LDAP:

auth_backend = ldap
ldap_hosts = ldap://ad.example.com:389
ldap_search_base = dc=example,dc=com
ldap_user_dn_pattern = cn={0},ou=Users,dc=example,dc=com

SAML 與 OIDC

6.3 版本加入對 OIDC 的原生支援,能快速與 Keycloak、Okta 等身份服務整合:

# example oidc.conf
auth_service:
  name: oidc
  type: oidc
  oidc_issuer_url: https://keycloak.example.com/auth/realms/demo
  client_id: graylog-client
  client_secret: somesecret

基本安全最佳實踐

  • 網路隔離:透過防火牆限制僅允許信任的來源 IP 存取 Graylog。
  • 憑證定期更新:避免使用過期或弱加密的憑證與金鑰。
  • 預設密碼更改:首次啟動後,立即修改 admin 密碼並移除預設帳號。
  • 審計日誌:啟用 Graylog 的審計功能,追蹤用戶操作與權限變更。
  • 最小權限原則:僅賦予用戶完成工作所需的最少權限,避免過度授權。

透過以上幾個面向,能快速為 Graylog 環境建立起初步的防護與授權管理,降低遭受未授權存取或資料洩露的風險。
若需更進階的監控與防禦策略,可考慮結合 SIEM、WAF 等外部安全工具,並定期進行滲透測試與漏洞掃描。


上一篇
Day 18: 高可用性架構部署
下一篇
Day 20: 節點擴充與基礎負載均衡
系列文
從零開始的 graylog 探險20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言