如何利用Filebeat增强CentOS的安全性

利用 Filebeat 增强 CentOS 安全性的实践指南

一 身份与权限最小化

• 创建专用系统用户（如 elkuser）运行 Filebeat，避免使用 root：执行 sudo useradd -r -s /usr/sbin/nologin elkuser 创建最小权限账户。
• 将 Filebeat 配置与日志目录归属该用户，并设置严格权限：
  • sudo chown -R elkuser:elkuser /etc/filebeat /var/lib/filebeat /var/log/filebeat
  • sudo chmod 600 /etc/filebeat/filebeat.yml
• 以非特权用户启动服务，并通过 systemd 限制权限：
  • 在 /etc/systemd/system/filebeat.service.d/override.conf 中设置 User=elkuser、Group=elkuser，必要时添加 CapabilityBoundingSet= 以移除不必要能力。
• 原则：仅授予读取日志与写入自身数据目录的权限，禁止写入系统关键路径。

二 传输加密与身份认证

• 启用 TLS/SSL 加密传输：
  • 生成 CA 与服务器/客户端证书，证书与密钥存放于 /etc/filebeat/certs/（权限建议 600，属主 elkuser）。
  • 示例（输出到 Elasticsearch）：
    • output.elasticsearch:
      • hosts: ["es.example.com:9200"]
      • ssl.certificate: "/etc/filebeat/certs/filebeat.crt"
      • ssl.key: "/etc/filebeat/certs/filebeat.key"
      • ssl.certificate_authorities: ["/etc/filebeat/certs/ca.pem"]
      • username: "filebeat_writer"
      • password: "<强口令>"
• 若对接启用 X-Pack Security 的集群，务必开启 用户名/密码 或 TLS 客户端证书 认证，并基于最小权限分配角色（仅授予写入目标索引与读取必要元数据的权限）。
• 原则：全链路加密、双向校验（如可行）、凭据与证书受控分发与轮换。

三 系统与网络安全控制

• 防火墙精细化放行：仅允许 Filebeat 与受控的 Elasticsearch/Logstash 地址通信，例如
  • sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.10" port port="9200" protocol="tcp" accept' && sudo firewall-cmd --reload
• 审慎对待 SELinux：不建议直接关闭，优先通过自定义策略或 semanage fcontext/setsebool 为 Filebeat 授予所需访问；确需临时排障时可用 setenforce 0，但应恢复为 enforcing。
• 网络隔离：将采集器部署在受控网段/VPC，限制横向移动与未授权访问。
• 原则：默认拒绝、最小暴露面、可审计的网络策略。

四 日志采集与审计覆盖

• 收集关键安全日志以强化审计与威胁检测：
  • 系统与安全日志：/var/log/messages、/var/log/secure
  • 认证与会话：/var/log/audit/audit.log（建议启用 auditd）
• 示例输入配置：
  • filebeat.inputs:
    • - type: log
      • paths:
        • - /var/log/messages
        • - /var/log/secure
    • - type: auditd
      • paths:
        • - /var/log/audit/audit.log
• 启用 Kibana 安全仪表板进行可视化与告警（如失败登录、提权、异常进程创建等），并建立索引生命周期管理（ILM）与保留策略，满足合规与成本控制。

五 持续更新与运行监控

• 版本与依赖：定期升级 Filebeat 至包含安全补丁的版本，及时替换存在漏洞的依赖组件。
• 运行监控：
  • 监控 Filebeat 自身日志（/var/log/filebeat/filebeat）与 systemd 状态：systemctl status filebeat
  • 在 Kibana 观察采集延迟、丢包、输出错误与管道健康度，设置阈值告警。
• 配置与凭据治理：对 filebeat.yml 实施版本控制与变更审计，凭据集中托管与定期轮换。
• 原则：可观测性驱动安全运营，快速发现异常并闭环处置。