Splunk - Chiffrement des communications partie 2
Alasta 7 Novembre 2021 splunk splunk gui cli admin chiffrement
Description : Chiffrement des communications des différents composants Splunk partie 2 - réplication et management.
Description :
Nous allons voir comment chiffrer les communications Splunk :
- La réplication entre les indexers
- La réplication entre les shearch head
- Flux de management
Prérequis :
On partira sur la base de SHC et IDX cluster.
Important :
Bien avoir le splunk.secret et passwd sur toutes les machines Splunk Core/full install.
On va chiffrer les communications pour la réplication des IDX :
Sur chaque IDX créer le dossier de certificat :
$ mkdir -p /opt/splunk/etc/auth/my_cert/Y copier les fichiers :
- wildcard_web.udmiot_with_key.pem
- rootCA.pem
Toujours sur chaque IDX éditer le fichier server.conf et y ajouter la configuration TLS :
$ vi /opt/splunk/etc/apps/myappclusteridxcommon/local/server.conf
[replication_port-ssl://9080]
disabled = false
rootCA = $SPLUNK_HOME/etc/auth/my_cert/rootCA.pem
serverCert = $SPLUNK_HOME/etc/auth/my_cert/wildcard_web.udmiot_with_key.pemPrise en compte sur les IDX :
$ sudo systemctl restart SplunkdOn va chiffrer les communications pour la réplication des SHC :
Depuis de Deployer, créer l’app pour la réplication des SH :
$ mkdir -p /opt/splunk/etc/shcluster/apps/custom_replication_tls/localConfiguration de l’app :
$ vi /opt/splunk/etc/shcluster/apps/custom_replication_tls/local/server.conf
[replication_port-ssl://9001]
disabled = false
rootCA = $SPLUNK_HOME/etc/auth/my_cert/rootCA.pem
serverCert = $SPLUNK_HOME/etc/auth/my_cert/wildcard_web.udmiot_with_key.pem
[replication_port://9001]
disabled = trueOn deploie sur le SHC depuis le deployer :
$ /opt/splunk/bin/splunk apply shcluster-bundle -target https://shc1.udmiot.lab:8089Sécurisation du port de Management (8089) :
Pour le Cluster Master, Deployer, Searxh Head, Indexer.
Deployer et Cluster Master :
Ajouter le certificat wildcard_web.udmiot_with_key.pem dans /opt/splunk/etc/auth/my_cert/.
Création de l’app :
$ mkdir -p /opt/splunk/etc/apps/custom_my_cert_tls_mgmt_port/local/Configuration de l’app :
$ vi /opt/splunk/etc/apps/custom_my_cert_tls_mgmt_port/local/server.conf
[sslConfig]
enableSplunkdSSL = true
serverCert = $SPLUNK_HOME/etc/auth/my_cert/wildcard_web.udmiot_with_key.pem
sslRootCAPath = $SPLUNK_HOME/etc/auth/my_cert/rootCA.pem
sslVerifyServerCert = true
#sslAltNameToCheck = <SAN of splunk peers certificates>
requireClientCert = trueConfig pour les SHC :
Depuis le Deployer faire un lien symbolique pour réutiliser l’app du Deployer :
$ cd /opt/splunk/etc/shcluster/apps/
$ ln -s ../../apps/custom_my_cert_tls_mgmt_port/On deploie sur le SHC depuis le deployer :
$ /opt/splunk/bin/splunk apply shcluster-bundle -target https://shc1.udmiot.lab:8089Config des Indexers :
Sur le Cluster Master faire un lien symbolique pour réutiliser l’app du Cluster Master :
$ cd /opt/splunk/etc/master-apps
$ ln -s ../apps/custom_my_cert_tls_mgmt_port/Deployer sur les IDX :
$ /opt/splunk/bin/splunk apply cluster-bundlePrise en compte sur les Cluster Master et Deployer :
$ sudo systemctl restart Splunkd