centos dmesg日志安全问题

CentOS 中 dmesg 日志的安全风险与加固要点

一 风险概览

• 信息泄露面大：dmesg 暴露内核版本、硬件细节、驱动加载、内核指针/堆栈等，常被用于精准提权与漏洞利用的前期侦察。默认情况下，非特权用户也能读取 dmesg，这在多用户或对外服务主机上风险更高。
• 绕过风险：在 systemd 系统上，journald 会采集内核日志，若仅限制 dmesg 命令访问，攻击者仍可能通过 journalctl 读取相同内容，需同步收紧相关权限。
• 日志膨胀与可用性：异常或高频事件（如驱动告警、网络异常）会导致 dmesg 缓冲区或持久化日志快速增长，带来磁盘占满、性能下降与取证困难。
• 启动阶段泄漏：即便运行期限制访问，引导时的内核消息仍可能出现在控制台或被系统日志采集，若被截获会泄露内核指针与启动参数。

二 加固清单

• 限制访问与内核指针泄漏
  • 启用内核指针隐藏与 dmesg 访问控制：
    • sysctl：kernel.kptr_restrict=2（隐藏内核指针）、kernel.dmesg_restrict=1（仅 CAP_SYSLOG 可读 dmesg）
    • 引导参数：loglevel=3（或 quiet）以减少启动期输出；必要时配合 systemd.log_level=err 等降低控制台日志级别
  • 收紧 journald 访问：将普通用户从 adm 组移除（如：gpasswd -d $user adm），避免通过 journalctl 绕过 dmesg 限制。
• 引导期信息最小化
  • 清理或限制对 /boot/System.map、/usr/src、/lib/modules 等敏感文件的读取权限；仅在需要时保留调试符号。
  • 对 /sys 等可能泄露硬件与内核细节的伪文件系统实施访问控制（如基于组的白名单策略）。
• 日志与审计
  • 将内核日志纳入集中审计与长期留存（如 rsyslog/ELK/Graylog），设置合理的轮转与保留策略，避免无限增长。
  • 对防火墙拒绝事件进行有节制地记录（例如 firewalld 的 LogDenied），避免将过多内核日志持久化到磁盘。
• 运行期监控与告警
  • 对 segfault、general protection fault、Oops 等异常进行基线化监控与告警；对 TCP 半开连接丢弃、异常 USB 设备等可疑事件设置阈值告警。

三 快速检查与验证

• 当前 dmesg 访问权限与内核指针策略：
  • sysctl -n kernel.dmesg_restrict 应为 1；sysctl -n kernel.kptr_restrict 建议为 2
  • 检查用户组：groups $USER 不应包含 adm；必要时执行 gpasswd -d $USER adm
• 引导期与运行期日志可见性：
  • 查看引导日志：cat /var/log/dmesg（在 RHEL/CentOS 8+ 需确保已持久化或由 systemd-journald 采集）
  • 查看内核日志：journalctl -k；若普通用户仍能读取，说明 adm 组或其他权限配置需收紧
• 敏感信息排查：
  • dmesg | egrep 'call trace|Oops|segfault|general protection fault'
  • dmesg | egrep 'USB|TCP.*drop|SYN'
• 防火墙拒绝日志是否写入内核环缓冲：
  • firewall-cmd --get-log-denied（建议为 all 仅用于排障，常态下按需调整以减少日志量）

四 常见攻击迹象与排查命令

五 注意事项

• 在 RHEL/CentOS 8+ 上，/var/log/dmesg 默认不会在引导时自动生成，通常由 systemd-journald 管理内核日志；若需文件化留存，请配置持久化或定期导出。
• 限制 journalctl 访问与限制 dmesg 访问需同步实施，否则容易被绕过。
• 开启 firewalld LogDenied=all 会产生较多内核日志，建议阶段性启用用于排障，常态下按策略收敛，避免日志膨胀与信息过度暴露。