Рейтинг:0

Rsyslog - «Предупреждение: сертификат ЦС не установлен», но пересылка TLS все еще работает

флаг ma

Я настраиваю rsyslog для пересылки через TCP/TLS. Мне было любопытно, почему, в отличие от HTTPS, мне нужно было добавить сертификат в мой клиент, поэтому я пошел против README и закомментировал конфигурацию сертификата, оставив мне это:

# global(DefaultNetstreamDriverCAFile="/etc/ssl/cert.pem")

набор правил (имя = "плавный") {
        действие(
                тип = "омфвд"
                target="<мой домен>"
                порт = "24224"
                протокол = "TCP"
                StreamDriver="gtls"
                StreamDriverMode="1"
                StreamDriverAuthMode="анон"
)
}

Теперь я получаю Предупреждение: сертификат CA не установлен [v8.2001.0, попробуйте https://www.rsyslog.com/e/2329] однако в логах rsyslog сообщения журнала по-прежнему успешно пересылаются в мой экземпляр Fluent, который использует TLS.

Почему это? Сертификат вообще нужен?

Binky avatar
флаг de
Если вы хотите получить конкретный ответ, вам необходимо предоставить дополнительную информацию. Я предлагаю вам предоставить вывод `lsb_release -a` и вставить большой двоичный объект PEM сертификата сервера (не закрытый ключ), на котором запущен ваш экземпляр Fluent.
флаг ma
@Binky Я удалил все свои артефакты из этого пробного запуска, но объяснение того, какие функции моего дистрибутива и / или сертификата сервера будут актуальны и почему, было бы очень полезно.
Рейтинг:1
флаг de

В соответствии с вашим комментарием я отвечаю в целом, поскольку мы не можем обсуждать конкретные детали фактической установки.

Когда программа на основе Linux, такая как rsyslog, использует TLS, программа обычно создается (связана) со стандартной библиотекой TLS, такой как OpenSSL или GnuTLS. Эти библиотеки получают доступ к хранилищу сертификатов (файлу, каталогу файлов или базе данных), находят в хранилище соответствующие сертификаты, создают цепочку сертификатов и выполняют проверку сертификата сервера (с помощью базовых криптографических и других библиотек).

Такое заявление, как DefaultNetstreamDriverCAFile="/etc/ssl/cert.pem" передает путь к нужному хранилищу сертификатов (файлу) в эту библиотеку TLS (система может иметь несколько хранилищ сертификатов).Поэтому, если вы не закомментировали эту строку, rsyslog сообщает библиотеке TLS использовать этот текстовый файл, содержащий один или несколько сертификатов в формате PEM.

Если вы закомментируете эту строку, то, что произойдет, зависит от базовой библиотеки TLS. Если библиотека была построена с хранилищем сертификатов по умолчанию, библиотека по-прежнему может выполнять согласование TLS. Например, на моем компьютере с Ubuntu 20 программа, использующая библиотеку GnuTLS, будет связана с /usr/lib/x86_68-linux-gnu/libgnutls.so. Этот файл библиотеки общих объектов был скомпилирован с путем по умолчанию к хранилищу сертификатов /etc/ssl/certs/ca-certificates.crt -- хранилище сертификатов текстовых файлов, которое является стандартным местом для операционной системы Ubuntu. Вы можете увидеть этот жестко закодированный путь, если запустите команду:

строки /usr/lib/x86_68-linux-gnu/libgnutls.so | grep-сертификаты.

Таким образом, если бы я запускал rsyslog, связанный с GnuTLS, с той же закомментированной строкой DefaultNetstreamDriverCAFile, использовался бы жестко запрограммированный путь к хранилищу сертификатов, и rsyslog мог бы завершить согласование TLS.

Скорее всего, именно это и произошло в вашей системе, и поэтому сообщение, которое вы видели, было только уровня «предупреждение». Программа rsyslog не знает, имеет ли базовая библиотека TLS значение по умолчанию, поэтому rsyslog был написан, чтобы предупредить вас и продолжить. Если хранилище сертификатов недоступно для базовой библиотеки TLS, тогда этот код вернет сообщение о фатальной ошибке в rsyslog, и rsyslog передаст/зарегистрирует сообщение пользователю.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.