Ubuntu Syslog安全策略：如何保护日志数据

Ubuntu Syslog安全策略与落地清单

一 安全目标与总体架构

• 目标：保障日志的机密性、完整性、可用性与可追溯性，满足审计与合规要求。
• 架构：优先采用集中式日志（将关键主机日志发送至中心 rsyslog 服务器），在传输层启用TLS/SSL 加密，在主机侧实施最小权限与访问控制，并配合监控与审计闭环。这样既能减少单点失陷风险，又便于统一分析与取证。

二 传输加密与访问控制

• 启用 TLS 加密（rsyslog）
  • 安装模块：sudo apt-get install rsyslog-gnutls
  • 生成证书（自签示例，生产请用受管 CA）：
    • sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/ssl/private/rsyslog.key -out /etc/ssl/certs/rsyslog.crt
  • 服务端启用 TLS 输入（示例）：
    • module(load=“imtcp”)
    • input(type=“imtcp” port=“514” tls=“on” tls.caCert=“/etc/ssl/certs/rsyslog.crt” tls.myCert=“/etc/ssl/certs/rsyslog.crt” tls.myPrivKey=“/etc/ssl/private/rsyslog.key” tls.authMode=“name” tls.permittedPeer=[“syslog.example.com”])
  • 客户端将目标改为 @@server:514（TCP+TLS），或配置证书校验对等名。
• 访问控制与防火墙
  • 仅允许可信网段/跳板机访问 514/TCP（必要时禁用明文 514/UDP）。
  • 如使用 rsyslog 的 AllowedSender（旧语法，视版本而定），可限制来源网段：AllowedSender UDP, 192.168.1.0/24。
  • 结合网络 ACL/安全组，最小化暴露面。

三 文件权限与进程隔离

• 日志文件权限与属主
  • 推荐：/var/log 下核心日志（如 syslog、auth.log）属主 root:adm，权限 640；仅管理员与日志组可读，降低信息泄露风险。
  • 示例：sudo chown root:adm /var/log/syslog && sudo chmod 640 /var/log/syslog
• 运行身份与特权隔离
  • rsyslog 以 syslog 用户运行，可通过 $PrivDropToUser/$PrivDropToGroup 降权，减少被攻陷后的横向能力。
• 私钥访问控制
  • 私钥仅对 rsyslog 可读：sudo setfacl -m u:syslog:r /etc/ssl/private/rsyslog.key
  • 证书目录最小权限：sudo setfacl -m u:syslog:rx /etc/ssl/private
• 工作目录与状态目录
  • /var/spool/rsyslog 属主 syslog:adm，确保队列与状态文件安全：sudo chown -R syslog:adm /var/spool/rsyslog。

四 留存、轮转、备份与完整性

• 日志轮转与压缩
  • 使用 logrotate 管理 /var/log/syslog 等：size 30M、rotate 7、compress、delaycompress、postrotate 执行 /usr/lib/rsyslog/rsyslog-rotate 通知 rsyslog 重新打开日志文件，避免日志句柄丢失。
• 远程集中与冗余
  • 将关键日志集中到中心服务器，并配置持久化存储与冗余备份（如多副本/异地），提升可靠性与取证可用性。
• 完整性校验与审计
  • 定期审计日志（如 auth、sudo、cron 等敏感日志），并监控异常模式；必要时引入 Fail2ban 等联动防护，降低暴力与滥用风险。

五 加固检查清单与常见误区

• 加固清单
  • 仅开放 514/TCP（TLS），禁用明文 514/UDP；客户端与服务端双向证书校验。
  • 证书与私钥受控：最小权限、定期轮换、集中审计与告警。
  • 日志目录与文件属主/权限按最小权限原则配置（root:adm，640/600）。
  • 启用集中式日志与长期留存策略，定期备份与异地容灾演练。
  • 持续更新 rsyslog/系统补丁，监控日志服务状态与异常日志量。
• 常见误区
  • 使用自签证书但未做主机名校验或信任链配置不当，导致“加密但不可信”。
  • 明文 UDP 514 暴露公网或未限制来源 IP，易被伪造与滥用。
  • 私钥权限过宽（如 644 或全局可读），导致密钥泄露。
  • 忽视 logrotate 的 postrotate 通知，导致日志轮转后应用仍写旧文件句柄。