Debian nohup日志如何进行安全审计

Debian nohup 日志安全审计实践

一 基础与总体思路

• 将 nohup 输出重定向到受控位置并统一命名：例如使用命令：nohup ./app.sh > /var/log/myapp/stdout.log 2> /var/log/myapp/stderr.log &，避免散落在用户主目录或 /tmp。随后对日志目录与文件设置最小权限：目录 700、文件 600，并使用 chown/chmod 固定属主属组。为控制体积与保留周期，使用 logrotate 做按大小或按日轮转、压缩与保留；对含敏感信息的日志，优先脱敏，必要时采用 GPG 加密存储并妥善管理密钥。为便于集中审计与告警，建议将关键日志统一接入 rsyslog/syslog-ng 并配置远程集中收集。最后，建立例行检查与告警机制，覆盖异常登录、权限变更、可疑进程与关键业务报错等场景。

二 日志采集与存储安全

• 采集与存储要点如下：

  • 采集：nohup 统一重定向到应用专属目录（如 /var/log/myapp/），便于权限收敛与访问控制；实时查看可用 tail -f，系统级日志与结构化分析建议统一走 rsyslog/syslog-ng 再由 ELK/Graylog/Splunk 做聚合与检索。
  • 存储：日志目录权限 700、日志文件 600；避免明文存放密钥/口令；对归档与备份同样应用最小权限与隔离存储；必要时对离线归档使用 GPG 加密并离线保管密钥。

• 示例：nohup 输出与权限

  mkdir -p /var/log/myapp
  chown appuser:appgroup /var/log/myapp
  chmod 700 /var/log/myapp
  nohup ./app.sh > /var/log/myapp/stdout.log 2> /var/log/myapp/stderr.log &
  chown appuser:appgroup /var/log/myapp/*.log
  chmod 600 /var/log/myapp/*.log
  

三 轮转与完整性保护

• 使用 logrotate 对 nohup 日志进行按大小或按日轮转、压缩与保留，示例配置 /etc/logrotate.d/myapp：

  /var/log/myapp/*.log {
      daily
      size 100M
      rotate 14
      compress
      delaycompress
      missingok
      notifempty
      create 640 appuser appgroup
      sharedscripts
      postrotate
          # 若应用支持reopen信号（如kill -USR1），在此触发
          # kill -USR1 $(cat /var/run/myapp.pid 2>/dev/null) || true
      endscript
  }
  

• 完整性保护建议：
  • 启用 auditd 对日志目录设置文件监视（如 auditctl -w /var/log/myapp -p wa -k log_myapp），记录打开、修改、删除等事件，并将审计日志单独落盘与集中转发。
  • 部署 AIDE/Tripwire 做周期性完整性校验与基线比对，发现未授权篡改及时告警。

四 审计与监控落地

• 本地快速审计与告警：
  • 关键系统日志：/var/log/auth.log（认证与 sudo）、/var/log/syslog（系统通用）、/var/log/kern.log（内核）、以及应用相关日志（如 /var/log/apache2/、/var/log/mysql/）。
  • 示例脚本：统计近期失败登录并告警

    #!/usr/bin/env bash
    LOG=/var/log/auth.log
    THRESHOLD=5
    COUNT=$(grep "Failed password" "$LOG" | tail -n "$THRESHOLD" | wc -l)
    if (( COUNT >= THRESHOLD )); then
      echo "ALERT: $COUNT failed password attempts detected in $LOG" | mail -s "SSH Brute-force Alert" sec@example.com
    fi
    

  • 对业务日志可用 grep/awk/sort/uniq -c 做高频错误、异常返回码、可疑关键字（如“password”“secret”“token”）的周期性扫描。
• 集中化与自动化：
  • 将 rsyslog 配置为接收本地与远程日志，统一格式与字段，便于 ELK/Graylog/Splunk 建立索引、仪表盘与告警规则。
  • 对暴力登录、扫描与异常行为，结合 fail2ban 自动封禁来源 IP，缩短攻击窗口。

五 合规与加固清单

• 访问控制：日志目录 700、文件 600；仅授权账户可读写；必要时用 ACL 进一步收敛。
• 传输与存储：生产环境优先使用 TLS 将日志安全传输到集中服务器；离线归档使用 GPG 加密并脱敏敏感字段。
• 保留与备份：按法规与业务需求设置保留周期（如 30–365 天），定期异地/离线备份并校验可用性。
• 最小化日志内容：避免记录密码、密钥、令牌、PII；上线前做脱敏与字段白名单。
• 变更与基线：对 rsyslog、logrotate、auditd、AIDE 等配置纳入版本管理与变更审计；定期执行 Lynis 等基线核查并修复高风险项。