CentOS下Filebeat安全性怎样保障

在CentOS系统上配置和运行Filebeat时，确保其安全性是非常重要的。以下是一些关键的安全设置步骤和建议：

使用非特权用户运行Filebeat

• 创建一个专门的用户来运行Filebeat，例如 elkuser。
• 编辑 /etc/passwd 文件，添加新用户并设置密码。
• 使用 useradd 命令创建用户：

  sudo useradd elkuser
  

• 设置用户密码：

  sudo passwd --stdin elkuser
  

• 以该用户身份运行Filebeat：

  sudo -u elkuser /usr/bin/filebeat
  

启用TLS/SSL加密

• 为Filebeat和Logstash之间的通信配置SSL/TLS加密，确保数据传输的安全性。
• 制作自签的CA证书和数字证书，并将它们放置在相应的目录下。
• 编辑Filebeat的 filebeat.yml 配置文件，添加SSL相关配置：

  output.elasticsearch:
    hosts: ["logstash:5044"]
    ssl.certificate: "/etc/certs/filebeat.crt"
    ssl.key: "/etc/certs/filebeat.key"
    ssl.certificate_authorities: ["/etc/certs/ca.crt"]
  

精细化访问控制

• Elasticsearch 角色定义：

  {
    "cluster": ["monitor"],
    "indices": [
      {
        "names": ["app-logs-*"],
        "privileges": ["read"],
        "query": {
          "term": {
            "team": "devops"
          }
        }
      }
    ]
  }
  

防火墙设置

• 使用 firewalld 限制Filebeat的网络访问，只允许特定的IP地址或网络段访问Filebeat服务：

  sudo firewall-cmd --permanent --add-service=filebeat
  sudo firewall-cmd --reload
  

定期更新和监控

• 定期更新Filebeat到最新版本，以确保安全补丁的及时应用。
• 监控Filebeat的运行状态和日志文件，及时发现并处理异常情况。

敏感数据脱敏

• 使用Logstash过滤器示例（脱敏身份证号）：

  filter {
    mutate {
      gsub => ["message", "(\d{6})\d{8}(\d{4})", "\1********\2"]
    }
  }
  

其他安全建议

• 禁用SELinux和防火墙（不推荐，除非有特殊需求）：

  sudo setenforce 0
  sed -i 's/selinuxenforcing/selinuxdisabled/g' /etc/selinux/config
  sudo systemctl stop firewalld
  sudo systemctl disable firewalld
  

通过以上步骤，您可以有效地增强CentOS系统上Filebeat的安全性，防止潜在的安全威胁和攻击。