CentOS 消息安全整体思路
在 CentOS 上,“消息”通常指系统日志与审计消息(如 /var/log/messages、/var/log/secure)、进程间通信(本地消息队列)、以及对外日志外发。保障其安全需覆盖:日志的机密性、完整性、可用性与可追溯性,并配合主机加固与访问控制共同生效。
一 日志系统与访问控制
- 启用并维持 SELinux 为 enforcing,仅以最小权限放行日志相关进程;出现异常 AVC 时,用 ausearch + audit2allow 生成最小策略模块,避免直接放宽策略。
- 以 firewalld 实施最小暴露面:仅放通来自受管日志收集器的必要端口/协议(如 TCP 514 或 TLS 端口),并限制来源网段。
- 加固日志文件与目录:确保 /var/log/ 及其子目录仅对 root 与日志服务可写,权限遵循最小权限原则;定期审计关键日志的完整性。
- 关闭不必要的服务与端口,减少可被滥用的消息通道与攻击面。
以上措施可显著提升日志与消息的保密性与抗篡改能力。
二 日志外发与传输加密
- 优先使用 TLS/SSL 加密外发日志(rsyslog 支持加载 TLS 模块并配置证书/密钥),确保日志在传输链路上具备机密性与完整性。
- 在 rsyslog 服务端/客户端配置 AllowedSender,仅允许受信任网段或主机发送日志,降低日志注入与滥用风险。
- 通过 firewalld 仅放行受管收集器到日志主机的单向流量,并定期更新 rsyslog/系统组件以修复已知漏洞。
- 避免使用明文 UDP 514 传输敏感日志,必要时在协议与网络层双重加固。
上述做法适用于集中化日志平台、SIEM 对接与跨域日志传输场景。
三 日志留存轮转与完整性保护
- 使用 logrotate 对 /var/log/messages 等日志进行周期轮转、压缩与保留(示例:每周轮转、保留 4 份、压缩归档),并配置合适的属主/权限,防止日志被非授权改写或删除。
- 结合 rsyslog 的日志规则将不同设施/级别分流(如将 authpriv. → /var/log/secure*),便于访问控制与审计追踪。
- 启用系统审计服务(如 auditd)对关键日志文件与 rsyslog 配置变更进行审计记录,配合 AVC 审计实现闭环处置。
- 建立日志完整性校验与留存策略(如定期校验、离线归档与异地保存),满足合规与取证需求。
这些措施共同保障日志的可用性与抗抵赖能力。
四 监控告警与入侵防护联动
- 对关键日志(如 /var/log/secure、/var/log/messages)建立实时 tail -f/集中监控 与关键字告警(失败登录、权限变更、策略加载异常等),缩短 MTTR。
- 部署 Fail2Ban 对暴力登录等异常行为进行自动封禁,联动防火墙规则减少持续性攻击窗口。
- 结合 last / lastb 等命令审计登录历史与失败尝试,配合 rsyslog 与安全审计形成多维取证链条。
通过监控与自动化处置,可将日志安全从“被动记录”提升为“主动防御”。
五 主机与身份安全加固
- 强化 SSH:禁用 root 远程登录(PermitRootLogin no)、使用密钥登录、限制可登录用户与来源网段,降低通过日志通道间接获取系统控制权的风险。
- 实施 强密码策略 与周期性轮换(如 PASS_MAX_DAYS 90、PASS_MIN_LEN 8),并启用 MFA 等增强认证手段,减少凭证泄露导致的日志伪造与滥用。
- 保持系统与日志组件 及时更新,遵循最小化安装与最小权限原则,关闭不必要的服务与端口。
这些措施从身份与主机层面减少日志被篡改、伪造与滥用的可能性。
