如何保护debian日志

保护 Debian 日志的实用方案

一 本地文件与权限加固

• 将日志集中存放在受保护的目录 /var/log，确保仅授权主体可读写。对关键日志设置最小权限，例如：
  • 设置属主与属组：sudo chown root:adm /var/log/syslog
  • 设置权限：sudo chmod 640 /var/log/syslog
• 如需对个别运维或审计人员授予只读，使用 ACL 精细化授权：sudo setfacl -m u:alice:r /var/log/syslog
• 对包含敏感登录信息的 /var/log/auth.log 实施同等强度的权限与访问控制，避免泄露凭据与来源信息。

二 日志轮转与保留策略

• 使用 logrotate 管理日志生命周期，避免单文件过大与无限增长，并保留足够历史用于取证：
  • 示例（/etc/logrotate.d/rsyslog）：

    /var/log/syslog {
        daily
        missingok
        rotate 7
        compress
        notifempty
        create 640 root adm
    }
    

• 根据合规要求调整保留周期与压缩策略，确保旧日志在到期前安全归档或清理。

三 传输与网络防护

• 最小化暴露面：如无集中日志需求，优先禁用 UDP/TCP 514 的远程 syslog；使用 ufw/iptables 仅允许受控来源访问日志端口。
• 必须远程传输时，启用 TLS 加密（rsyslog 的 TLS 模块或 syslog-ng 的 TLS 配置），防止中间人窃听与篡改。
• 规划网络分区与访问控制，将日志收集器置于管理网或带外网络，减少攻击路径。

四 完整性保护与审计

• 启用 auditd 对日志文件与关键目录进行监控，记录打开、修改、删除等事件，便于事后取证：
  • 示例：sudo auditctl -w /var/log/ -p wa -k varlog_audit
• 部署 AIDE/Tripwire 等文件完整性监控工具，定期校验日志文件的哈希与属性，异常变更即时告警。
• 对高价值日志（如 auth.log）设置更严格的访问控制与告警策略，及时发现暴力登录与异常访问。

五 集中化与备份

• 建立 集中式日志服务器，统一接收与存储各主机的日志，便于统一审计、搜索与可视化；传输全程使用 TLS 保护。
• 在采集侧使用 Filebeat 等轻量采集器，将 /var/log/auth.log 等安全日志安全、可靠地送往 Elasticsearch/Logstash/Kibana 或 Splunk 进行分析与告警。
• 制定 定期备份 与异地/离线留存策略，确保日志在磁盘损坏、入侵或勒索场景下仍可恢复与取证。