CentOS 中 Syslog 与 SELinux 的协同机制
在 CentOS 上,日志由 systemd-journald 与 rsyslog 负责采集与落盘,而 SELinux 通过类型强制(TE)与布尔值控制进程对日志相关资源(如 /dev/log、日志文件、Unix 域套接字、网络端口)的访问。二者协同的关键在于:让日志守护进程与被管进程具备正确的 SELinux 类型 与 权限,并在 Enforcing 模式下依然能写入目标日志;当访问被拒时,借助 auditd/rsyslog 的日志定位并修正策略或上下文。
日志与 SELinux 的职责分工
- 日志采集链路:内核与用户态进程产生的日志由 systemd-journald 统一采集,随后 rsyslog 按规则写入文件或转发;本地日志常用 /dev/log(Unix 域套接字)与内核日志接口。常见落盘路径包括 /var/log/messages、/var/log/secure、/var/log/audit/audit.log 等。
- SELinux 控制点:进程(如 rsyslogd_t)、日志文件(如 var_log_t)、套接字与端口都有明确的类型与权限;当 auditd 运行时,拒绝事件优先写入 /var/log/audit/audit.log,否则可能出现在 /var/log/messages;可用 sealert 对拒绝进行分析并给出修复建议。
典型协同场景与配置要点
- 本地日志写入:确保 rsyslogd 对目标日志目录与文件具有写权限(类型如 var_log_t),必要时用 semanage fcontext/restorecon 修正文件上下文;验证 /dev/log 的访问是否被允许。
- 通过 Unix 域套接字采集应用日志:例如 HAProxy 将日志发往 /var/lib/haproxy/dev/log。在 Enforcing 下需为 rsyslogd_t 授予对 haproxy_var_lib_t 类型目录/套接字的访问,可通过自定义 TE 模块加载策略解决。
- 远程 Syslog(UDP/TCP 514):启用 rsyslog 的相应模块(如 imudp/imtcp),并确认 SELinux 布尔与策略允许 rsyslogd 绑定/监听 514 端口(常见类型如 syslogd_port_t);同时开放防火墙策略。
- 内核日志:由 klogd 从内核环形缓冲读取并经 syslog 接口转发,确保相关套接字与权限配置正确。
排错流程与常用命令
- 确认运行状态:使用 getenforce/sestatus 查看是否为 Enforcing/Permissive/Disabled;仅在排障时短时切换 Permissive 验证是否为 SELinux 所致(生产不建议长期关闭)。
- 定位拒绝事件:优先查看 /var/log/audit/audit.log(若 auditd 运行),或使用 tail -f /var/log/messages 观察 syslog 自身日志;用 sealert -a /var/log/audit/audit.log 获取修复建议。
- 修正策略与上下文:
- 文件/目录上下文:使用 semanage fcontext -a -t var_log_t ‘/var/log/myapp(/.*)?’ && restorecon -Rv /var/log/myapp;
- 端口标签:使用 semanage port -a -t syslogd_port_t -p udp 514;
- 自定义 TE 模块:编写 .te 文件,使用 checkmodule/semodule_package/semodule -i 编译加载(如为 rsyslog-haproxy 场景)。
- 验证连通与监听:用 netstat -anp | grep syslog 确认 rsyslog 正在监听 514,用 tcpdump -Ani any port 514 验证报文是否到达。
安全与运维建议
- 优先保持 SELinux Enforcing,以最小权限原则通过策略/上下文修正问题,而非直接关闭。
- 将日志置于独立分区,限制日志文件大小与保留策略,避免日志耗尽磁盘。
- 远程日志建议启用 TCP 并使用加密通道,配合防火墙仅允许受控来源访问 514 端口。
- 对关键业务日志建立集中化收集与审计,定期用 sealert 与自定义报表巡检拒绝事件趋势。