1. 日志加密:保护数据机密性
使用rsyslog或Syslog-ng结合GnuPG、TLS实现日志加密。以rsyslog为例,步骤如下:安装rsyslog和GnuPG(sudo apt-get install rsyslog gpg);生成GnuPG密钥对(gpg --full-generate-key);编辑rsyslog配置文件(/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf),添加加密模板;重启rsyslog服务(sudo systemctl restart rsyslog)。此外,可通过TLS/SSL加密传输,生成证书(sudo openssl req -newkey rsa:2048 -x509 -days 3650 -keyout /etc/ssl/private/rsyslog.key -out /etc/ssl/certs/rsyslog.crt),配置rsyslog启用TLS,重启服务生效。
2. 访问控制:限制非法访问
通过防火墙(如UFW)限制Syslog端口(默认UDP 514)的入站流量,仅允许可信IP段访问(sudo ufw allow from 192.168.1.0/24 to any port 514 proto udp);配置rsyslog的AllowedSender指令,明确允许的发送主机(如AllowedSender UDP, 192.168.1.0/24);设置日志文件及目录权限(如/var/log/syslog设为640,属主root、属组syslog),防止未授权读取。
3. 日志完整性:防止篡改
使用数字签名或哈希算法(如SHA-256)验证日志完整性。可通过GnuPG对日志文件签名(gpg --detach-sign /var/log/syslog),定期检查签名有效性;或使用日志监控工具(如Logwatch)自动分析日志变更,及时告警异常修改。
4. 日志审计:追踪异常行为
配置rsyslog记录sudo命令操作(编辑/etc/sudoers添加Defaults logfile="/var/log/sudo.log",再配置rsyslog将sudo日志定向到单独文件),便于追溯特权操作;使用Logwatch等工具定期生成审计报告,分析登录失败、权限提升等异常事件。
5. 密钥与证书管理:降低泄露风险
妥善存储GnuPG私钥(如使用密码保护私钥文件,存放在加密分区)和TLS证书(限制证书访问权限,仅允许rsyslog服务读取);定期更新证书(如TLS证书有效期设置为1年,提前续订),避免因证书过期导致加密失效。
6. 系统与服务加固:减少攻击面
保持Ubuntu系统及rsyslog软件最新(sudo apt update && sudo apt upgrade),修复已知漏洞;禁用不必要的Syslog功能(如关闭UDP端口,仅使用更安全的TCP);使用AppArmor或SELinux限制rsyslog进程权限,防止提权攻击;配置日志轮转(通过logrotate设置日志大小上限和保留周期,如/etc/logrotate.d/rsyslog中设置maxsize 50M、rotate 7),避免日志文件过大导致磁盘空间耗尽。
