利用 Filebeat 提升 CentOS 安全性的实践指南
一 安全基线加固
- 使用非 root 专用用户运行 Filebeat,最小化权限面:创建系统用户并禁止登录,调整关键文件属主与权限,避免明文凭据泄露与提权风险。示例:创建用户、设置配置与日志目录权限,仅允许必要主体读取。
- 保护配置文件与凭据:将 /etc/filebeat/filebeat.yml 设为 640,属主 filebeat:filebeat;证书、密钥等凭据文件仅对 Filebeat 可读,禁止放在 Web 可访问路径。
- 正确启用 SELinux:优先通过策略放行(如日志读取、模块通信),而非直接关闭;临时调试可用 setenforce 0,生产环境不建议永久关闭。
- 精细化 防火墙:仅开放必要端口(如到 Elasticsearch 的 9200 或到 Logstash 的 5044),避免使用 0.0.0.0/0 的宽松放行策略。
- 持续更新与监控:及时更新 Filebeat 与依赖组件,监控服务状态与日志异常,形成闭环处置流程。
二 加密与认证配置
- 传输加密(TLS):到 Elasticsearch/Logstash 的输出启用 SSL/TLS,指定 CA 证书、客户端证书/密钥,并将 ssl.verification_mode 设为 certificate 或更高,防止中间人攻击与数据泄露。
- 强身份认证:为目标端开启用户名/密码或 API Key 认证;若后端启用 X-Pack Security,在 Filebeat 输出中配置对应凭据,并开启传输与 HTTP 层的 SSL。
- 证书与密钥管理:证书集中存放于 /etc/pki/ 或专用目录,权限 600/644 分级管控;定期轮换证书并验证链路信任。
三 安全审计日志采集
- 聚焦关键安全日志:采集 /var/log/secure(认证与授权事件)、/var/log/messages(系统级重要事件)等,确保失败登录、提权、sudo 使用等可被检测与告警。
- 使用 Filebeat 模块增强解析:启用 system 模块(内置解析规则、仪表板),如需内核与系统调用审计可启用 auditd 模块,降低人工解析成本并提升告警准确性。
- 输出到集中平台:将审计日志发送至 Elasticsearch 并通过 Kibana 建立索引模式与可视化仪表板,实现登录异常、暴力破解、权限变更等场景的实时监测与回溯。
四 网络隔离与访问控制
- 最小暴露面:将采集器与后端(Elasticsearch/Logstash)部署在受控网段/VPC,仅允许来自采集器的出站连接到 9200/5044;对管理口与数据口实施网络 ACL 与安全组隔离。
- 主机防火墙精细化:在 CentOS 上使用 firewalld 仅放行必要端口与来源网段,避免使用宽松规则或长期关闭防火墙。
- 禁用不必要服务与端口:减少攻击面,配合系统加固基线共同降低被入侵概率。
五 运行监控与维护
- 服务健康检查:使用 systemctl status filebeat 与 journalctl -u filebeat 查看运行状态与错误日志;定期审计 Filebeat 自身日志与输出目标可达性。
- 连通性与配置自检:上线前执行 filebeat test output 验证到后端(Elasticsearch/Logstash)的连通性与认证是否成功,减少因配置错误导致的日志断流。
- 变更与版本管理:遵循变更流程,变更前后保留配置快照;保持 Filebeat 与 Elastic Stack 的及时更新,获取最新安全修复与改进。
