centos日志安全如何保障 - 问答

CentOS 日志安全的系统化保障方案

一基础架构与访问控制

使用 rsyslog 作为日志中枢，集中管理本地与远程日志；如需接收外部日志，仅开放必要来源，优先采用 TCP/TLS 而非明文 UDP。示例：在 /etc/rsyslog.conf 中加载模块并限制监听为本地，或按需配置远程接收；远程发送建议使用 @@remote-host:514（TCP）。防火墙侧仅放行管理网段与日志服务器 IP。
以最小权限运行日志服务：在 rsyslog.conf 中设置 PrivDropToUser syslog、PrivDropToGroup syslog，并收紧 /var/log 目录与日志文件的属主/权限（如 root:root，关键日志 0600），仅授权人员可读。
启用 SELinux 并维持默认策略，必要时仅为日志目录设置正确的类型（如 var_log_t），避免放宽策略导致审计绕过。

二采集与完整性保护

启用 auditd 记录关键安全事件（系统调用、文件访问、特权命令等），规则写入 /etc/audit/rules.d/，典型规则包括：
- 记录命令执行： -a always,exit -F arch=b64 -S execve -k exec 与 -a always,exit -F arch=b32 -S execve -k exec
- 监控关键配置： -w /etc/passwd -p wa -k passwd_changes， -w /etc/shadow -p wa -k shadow 等
配置审计日志的可靠性参数（/etc/audit/auditd.conf）：如 max_log_file（单文件大小）、num_logs（保留个数）、space_left_action/disk_full_action（低空间与磁盘满动作），确保“写满前切换、空间不足告警、磁盘满时暂停而非丢失”的策略。
加固审计日志文件权限：chown root:root /var/log/audit/audit.log; chmod 600 /var/log/audit/audit.log，防止非授权访问与篡改。
完整性校验：定期为关键日志（如 /var/log/audit/audit.log、/var/log/secure）生成 哈希/签名 并异地保存，用于事后取证与防篡改验证。

三传输与集中存储

远程集中日志：在 rsyslog 中配置将本地日志发送至日志服务器，例如 local6.* @@192.168.1.100:514（TCP），并在客户端使用 module(load="imfile") 采集文件型日志（如应用日志）统一转发。
传输加密：跨公网或不可信网络传输时，启用 TLS/SSL 证书对日志通道加密，避免明文泄露敏感事件。
网络与主机加固：仅允许日志服务器与必要的管理网段访问 514/TCP；在日志服务器侧同样实施最小权限、分区隔离与访问控制。

四轮转、留存与备份

五监控告警与审计分析

实时监控关键日志：
- 认证与暴力破解：tail -f /var/log/secure | grep 'failed'；登录历史与失败记录：last、lastb
- 服务与内核日志：journalctl -u sshd、journalctl -k
审计报表与取证：使用 ausearch -k <key> 按自定义关键字检索，aureport 生成登录、命令执行等汇总报告，便于合规审计与异常溯源。
集中分析与可视化：部署 ELK Stack 或 Splunk 对多台主机的日志进行聚合、告警与可视化，结合阈值/模式识别实现 实时告警（如多次登录失败、sudo 提权、关键文件变更）。

0 赞

0 踩