Ubuntu Filebeat的安全配置指南

1. 更新Filebeat至最新版本
保持Filebeat为最新版本是安全基础，新版本通常包含安全补丁与漏洞修复。使用以下命令更新：

sudo apt-get update && sudo apt-get upgrade filebeat

2. 配置防火墙限制访问
使用UFW（Uncomplicated Firewall）限制Filebeat的网络访问，仅允许必要端口通信：

sudo ufw allow 5044/tcp  # Filebeat默认输出端口
sudo ufw allow 9200/tcp  # Elasticsearch默认端口（若需直接通信）
sudo ufw allow 5601/tcp  # Kibana默认端口（若需可视化）
sudo ufw enable          # 启用防火墙

3. 启用TLS/SSL加密通信
加密Filebeat与Elasticsearch/Kibana之间的数据传输，防止中间人攻击：

• 获取证书：使用Let’s Encrypt生成免费证书（替换yourdomain.com为实际域名）：

  sudo apt-get install certbot
  sudo certbot certonly --standalone -d yourdomain.com
  

• 配置Filebeat：编辑/etc/filebeat/filebeat.yml，添加SSL参数：

  output.elasticsearch:
    hosts: ["https://yourdomain.com:9200"]
    ssl.certificate_authorities: ["/etc/letsencrypt/live/yourdomain.com/fullchain.pem"]
    ssl.certificate: "/etc/letsencrypt/live/yourdomain.com/privkey.pem"
    ssl.key: "/etc/letsencrypt/live/yourdomain.com/privkey.pem"
    ssl.verify_mode: full  # 强制验证证书有效性
  

4. 配置认证机制
启用Elasticsearch X-Pack安全功能，创建专用用户并配置Filebeat认证：

• 启用X-Pack：编辑/etc/elasticsearch/elasticsearch.yml，添加：

  xpack.security.enabled: true
  

  重启Elasticsearch：sudo systemctl restart elasticsearch
• 创建用户与角色：使用Kibana Dev Tools或API创建filebeat_user（赋予read角色，仅允许读取数据）：

  curl -X POST "localhost:9200/_security/user/filebeat_user?pretty" -H 'Content-Type: application/json' -d'
  {
    "password" : "StrongPassword123!",
    "roles" : [ "read" ],
    "full_name" : "Filebeat Log Collector"
  }'
  

• 配置Filebeat认证：在filebeat.yml的输出部分添加基本认证：

  output.elasticsearch:
    hosts: ["https://yourdomain.com:9200"]
    ssl.verify_mode: full
    basic_auth:
      username: "filebeat_user"
      password: "StrongPassword123!"
  

5. 使用非特权用户运行
避免以root用户运行Filebeat，降低权限滥用风险：

• 创建专用用户（如filebeat）：

  sudo useradd --system --no-create-home --shell /bin/false filebeat
  sudo chown -R filebeat:filebeat /etc/filebeat /var/log/filebeat
  

• 修改Filebeat服务配置（/etc/systemd/system/filebeat.service），指定用户：

  [Service]
  User=filebeat
  Group=filebeat
  

  重载systemd并重启服务：

  sudo systemctl daemon-reload
  sudo systemctl restart filebeat
  

6. 配置Seccomp限制系统调用
通过Seccomp（安全计算模式）限制Filebeat可执行的系统调用，减少攻击面：

• 编辑filebeat.yml，添加以下配置（解决Ubuntu 22.04上因缺少rseq系统调用导致的异常）：

  seccomp:
    default_action: allow
    syscalls:
      - action: allow
        names:
          - rseq
  

7. 最小化数据采集范围
仅采集必要的日志数据，减少敏感信息泄露风险：

• 示例：仅监控/var/log/auth.log（认证日志）和/var/log/syslog（系统日志），忽略其他无关文件：

  filebeat.inputs:
  - type: log
    enabled: true
    paths:
      - /var/log/auth.log
      - /var/log/syslog
    exclude_lines: ["^DBG", "^INFO"]  # 排除调试与普通信息（可选）
  

8. 定期监控与审计

• 查看状态与日志：使用以下命令监控Filebeat运行状态及异常：

  sudo systemctl status filebeat
  sudo journalctl -u filebeat -f  # 实时查看日志
  

• 日志轮换：配置logrotate防止日志文件过大，编辑/etc/logrotate.d/filebeat：

  /var/log/filebeat/*.log {
      daily
      rotate 7
      missingok
      notifempty
      compress
      delaycompress
      create 0640 filebeat filebeat
  }
  

9. 定期更新与安全审计

• 订阅Elastic官方安全公告，及时升级Filebeat至最新稳定版；
• 定期审计filebeat.yml配置（如检查认证信息是否过期、SSL证书是否有效），确保无冗余或高危配置。