centos日志安全设置怎么做

CentOS 日志安全设置实操清单

一基础安全基线

启用并加固系统日志服务：确认 rsyslog 已安装并运行，设置开机自启，使用 systemd 管理日志服务，确保服务异常能及时告警与恢复。
权限最小化：将关键日志文件（如 /var/log/messages、/var/log/secure）的所有者设为 root，属组设为 adm，权限设为 640，仅授权人员可读取，防止非授权访问。
完整性保护：对关键日志启用不可变属性（如 chattr +i），并部署 auditd 对日志文件的写入、属性修改等行为进行审计，确保可追踪。
集中与加密传输：将日志统一发送至集中 Syslog 服务器，优先使用 TLS/SSL 加密通道，避免明文传输被窃听或篡改。
访问控制：通过 firewalld 仅允许受信任网段/IP 访问日志服务端口（默认 514/UDP、514/TCP），减少攻击面。
时间同步：启用 NTP 或 chrony，保证日志时间戳一致，便于取证与关联分析。

二关键配置步骤

本地权限与属主
- 设置关键日志权限与属主属组：
  - chown root:adm /var/log/{messages,secure}
  - chmod 640 /var/log/{messages,secure}
- 对核心日志加不可变属性：chattr +i /var/log/{messages,secure}（变更前评估 logrotate 兼容性）。
rsyslog 基础与远程
- 编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/*.conf：
  - 仅本地接收 UDP：
    - module(load=“imudp”)
    - input(type=“imudp” port=“514” address=“127.0.0.1”)
  - 远程接收（TCP/TLS 推荐）：
    - module(load=“imtcp”)
    - input(type=“imtcp” port=“514”)
- 重启服务：systemctl restart rsyslog；开机自启：systemctl enable rsyslog。
防火墙策略
- 仅本地：firewall-cmd --permanent --add-source 127.0.0.1 --reload
- 允许受信网段访问 514 端口：firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port port=“514” protocol=“udp” accept’ && firewall-cmd --reload。
审计规则（auditd）
- 监控日志文件写入与属性变更：
  - auditctl -w /var/log/messages -p wa -k syslog_audit
  - auditctl -w /var/log/secure -p wa -k syslog_audit
- 持久化：将规则写入 /etc/audit/rules.d/audit.rules 并执行 augenrules --load；确保 auditd 开机自启。

三远程集中与加密传输

服务端（集中日志服务器）
- 启用 imtcp/imudp 监听 514，建议仅开放 TCP/TLS；为客户端创建基于证书的身份认证与授权策略，减少伪造来源。
客户端
- 推荐 TLS 方式发送：在 rsyslog 配置中使用 TLS/SSL 模块与证书，将日志安全送达服务器；若用 UDP，仅限受控网络。
防火墙与网络
- 仅放通日志服务器与受控网段对 514/TCP 的访问；跨公网传输必须使用 TLS，并限制源地址。

四日志轮转与保留策略

使用 logrotate 管理日志生命周期：按日/周轮转、压缩归档、保留周期可配置（如保留 30 天），并确保在轮转时保留正确的属主属组与权限。
为审计日志单独配置轮转策略，避免审计数据被过早清理；结合集中平台（如 ELK/Graylog）进行长期存储与快速检索。

五审计分析与监控告警

本地检索：使用 journalctl -f 实时查看系统日志；对关键事件（如 Failed password、sudo）设置关键字监控与告警。
集中分析与可视化：部署 ELK Stack（Elasticsearch、Logstash、Kibana） 或 Graylog，对安全事件进行聚合、可视化与告警。
审计取证：利用 auditd 的 ausearch/aureport 查询特定事件（如命令执行、文件变更），与系统日志交叉验证。

最新问答