Debian如何配置Filebeat的网络安全

Debian上配置Filebeat的网络安全

一 基础加固

• 最小权限运行与目录权限
  • 创建专用系统用户并禁止登录：sudo useradd -r -s /usr/sbin/nologin filebeat
  • 收紧配置与目录权限：sudo chown -R filebeat:filebeat /etc/filebeat /var/lib/filebeat /var/log/filebeat && sudo chmod -R 750 /etc/filebeat
• 配置与日志安全
  • 禁止在配置中明文写密码，优先使用安全的凭据存储（如HashiCorp Vault或密钥文件受控权限），并在配置中仅保留必要字段。
  • 启用本地日志轮转与权限控制，便于审计与故障排查。
• 系统与组件更新
  • 定期更新Filebeat与相关组件，及时修补安全漏洞：sudo apt update && sudo apt upgrade filebeat
• 监控与告警
  • 启用Filebeat自身日志与运行状态监控，结合Prometheus/Grafana或Elastic Stack监控，及时发现异常。

二 传输加密 TLS

• 生成证书（测试用，生产建议使用受信任CA）
  • 创建目录：mkdir -p /etc/filebeat/pki/tls/{certs,private}
  • 生成自签名证书：openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/filebeat/pki/tls/private/filebeat.key -out /etc/filebeat/pki/tls/certs/filebeat.crt -subj ‘/CN=filebeat.example.com/’
• 配置Filebeat输出到Elasticsearch使用TLS
  • 示例：

    output.elasticsearch:
      hosts: ["https://es.example.com:9200"]
      username: "filebeat_writer"
      password: "<强口令或从凭据存储读取>"
      ssl.enabled: true
      ssl.certificate_authorities: ["/etc/filebeat/pki/tls/certs/ca.crt"]
      ssl.certificate: "/etc/filebeat/pki/tls/certs/filebeat.crt"
      ssl.key: "/etc/filebeat/pki/tls/private/filebeat.key"
      ssl.verification_mode: full
    

  • 若Elasticsearch启用X-Pack Security，需同时在其端开启transport/http SSL并配置证书与信任链，确保双向校验生效。
• 验证
  • 重启服务：sudo systemctl restart filebeat
  • 查看状态与日志：sudo systemctl status filebeat && sudo tail -f /var/log/filebeat/filebeat.log，确认已建立HTTPS连接且无证书验证错误。

三 网络访问控制

• 防火墙策略（按最小暴露面原则）
  • 若直连Elasticsearch（端口9200）：仅允许Filebeat所在主机或网段访问
    • UFW：sudo ufw allow from <filebeat_ip> to any port 9200 proto tcp
    • 或仅本地：sudo ufw allow 9200/tcp
  • 若经由Logstash（端口5044）：仅允许Logstash入站
    • UFW：sudo ufw allow from <logstash_ip> to any port 5044 proto tcp
  • 保存规则（iptables）：sudo iptables-save > /etc/iptables/rules.v4
• 主机与网络隔离
  • 将Filebeat部署在受控网段/VPC，限制对管理口与采集目标的访问，仅开放必要端口与协议。

四 认证与授权

• Elasticsearch侧
  • 启用X-Pack Security，为Filebeat创建最小权限专用用户（仅授予写入目标索引、创建/写入ILM策略等必要权限），避免使用elastic超级用户直连采集器。
• Filebeat侧
  • 在输出中使用用户名/密码或API Key进行身份认证，并配合TLS证书校验服务端身份，防止中间人攻击与伪造端点。
• 凭据治理
  • 避免明文密码落地，使用Vault/KMS或受控文件权限管理凭据，定期轮换。

五 运行监控与维护

• 日志与审计
  • 启用并轮转Filebeat日志，保留不少于7天：

    logging.level: info
    logging.to_files: true
    logging.files:
      path: /var/log/filebeat
      name: filebeat
      keepfiles: 7
      permissions: 0644
    

• 服务与连通性检查
  • 周期性检查：sudo systemctl status filebeat，并监控连接失败、证书过期与队列积压等指标。
• 变更与合规
  • 定期审计配置与权限，禁用不必要的模块与功能，保持组件版本与补丁为最新。