Ubuntu下Filebeat安全策略有哪些

Ubuntu下Filebeat安全策略清单

身份与权限

• 以非root专用用户运行Filebeat，遵循最小权限原则；为运行账户创建专属系统用户并仅授予必要目录的访问权限。
• 保护配置与密钥：将**/etc/filebeat/** 目录及证书文件的属主设为filebeat用户，权限建议为750/640，禁止其他用户读取敏感文件。
• 避免以root直接启动；如遇到权限校验提示，不要长期放宽权限，应按最小权限原则修正目录属主与权限。
• 注意特定版本的兼容性：在glibc ≥ 2.35 与 Filebeat < 7.17.2 的组合下，可能因缺少 rseq 系统调用导致崩溃；优先通过升级Filebeat解决，临时方案是启用seccomp并显式允许rseq，或仅在测试环境关闭seccomp（生产环境不推荐）。

传输加密与认证

• 对输出链路启用TLS/SSL：对接 Elasticsearch/Logstash 时使用 https 与证书校验，配置 ssl.verification_mode: certificate，并正确设置 ssl.certificate_authorities / ssl.certificate / ssl.key。
• 启用强认证：为Filebeat创建具有最小权限的专用用户，在配置中使用用户名/密码或PKI证书进行双向认证。
• 若Elasticsearch启用 X-Pack Security，同步开启传输与HTTP层的SSL，并配置keystore/truststore路径与权限。
• 证书管理：使用受信任的CA签发证书，证书与私钥文件权限设为600，仅filebeat用户可读。

网络与系统加固

• 通过UFW/iptables限制访问：仅允许来自受控网段或特定IP访问 5044（Logstash）、9200（Elasticsearch） 等必要端口，默认拒绝其他来源。
• 实施网络隔离：将采集端与服务端置于受控网络/VPC，必要时通过私有子网/安全组限制通信。
• 启用Seccomp系统调用过滤，遵循默认拒绝策略，仅放行必要调用；仅在兼容性问题时临时放宽并尽快修复版本。
• 保持系统与组件及时更新，及时修补已知漏洞。

日志、监控与合规

• 启用并审计Filebeat自身日志：配置 logging.to_files: true，日志路径如 /var/log/filebeat/，设置合理的保留天数（如7天）与文件权限（如0644），便于审计与取证。
• 使用 journalctl -u filebeat -f 实时查看服务日志，结合系统监控/告警平台对异常状态（频繁重启、发送失败、证书过期等）进行告警。
• 仅采集必要日志，减少敏感数据暴露面；对可能包含敏感信息的字段进行脱敏或移除。
• 定期轮换与归档日志文件，避免日志被篡改或无限增长。

快速配置示例

• 最小权限与目录权限
  • 创建用户与目录权限：sudo useradd -r -s /usr/sbin/nologin filebeat；sudo chown -R filebeat:filebeat /etc/filebeat /var/log/filebeat；sudo chmod -R 750 /etc/filebeat /var/log/filebeat
• TLS输出到Elasticsearch（证书路径与权限示例）
  • 配置片段：
    • output.elasticsearch:
      • hosts: [“https://es.example.com:9200”]
      • username: “filebeat_reader”
      • password: “StrongPassword!”
      • ssl.enabled: true
      • ssl.verification_mode: certificate
      • ssl.certificate_authorities: [“/etc/filebeat/certs/ca.crt”]
      • ssl.certificate: “/etc/filebeat/certs/filebeat.crt”
      • ssl.key: “/etc/filebeat/certs/filebeat.key”
  • 证书权限：sudo chmod 600 /etc/filebeat/certs/；sudo chown filebeat:filebeat /etc/filebeat/certs/
• 防火墙（UFW）
  • 仅允许受控来源访问必要端口：sudo ufw allow from 10.0.0.0/8 to any port 5044,9200 proto tcp；sudo ufw enable
• 服务重启与验证
  • 重启生效：sudo systemctl restart filebeat；sudo systemctl status filebeat；journalctl -u filebeat -f