CentOS Apache日志安全问题

CentOS 上 Apache 日志安全加固清单

一 风险概览与关键路径

• 常见风险：日志被公开访问导致敏感信息泄露（如 Cookie、SessionID、手机号）、日志投毒引发代码执行、日志篡改/删除掩盖入侵、日志注入污染分析、以及日志量耗尽磁盘导致拒绝服务。
• 关键路径与默认位置（CentOS/RHEL）：
  • 访问日志：/var/log/httpd/access_log
  • 错误日志：/var/log/httpd/error_log
  • 系统认证日志：/var/log/secure
  • 建议将日志存放在Web 根目录之外，并确保目录与文件权限最小化。

二 访问控制与防泄露

• 存放位置与权限
  • 将日志目录移出 Web 根目录（如保持在**/var/log/httpd/），并设置目录权限为700**、日志文件为600，属主属组为root（或专用的日志管理员）。
• 禁止通过 Web 直接访问日志
  • 在 Apache 配置或对应 VirtualHost 中添加：

    <FilesMatch "\.(log|txt)$">
        Require all denied
    </FilesMatch>
    

  • 若曾误将日志放入 Web 目录，立即移走并恢复正确权限，同时排查是否被外泄。
• 最小化本地与远程可见性
  • 仅允许运维/安全组读取日志；集中式日志平台也应基于最小权限与网络分段接入。

三 日志完整性与抗篡改

• 集中式与加密传输
  • 使用 rsyslog omfwd 或 Filebeat/Logstash 将日志TLS 加密发送到集中平台，避免明文传输被窃听或篡改。
  • 示例 rsyslog 规则（将 local0 设施日志转发到 Logstash，使用 TLS）：

    template(name="json_template" type="list") {
        property(name="timestamp" dateFormat="rfc3339")
        property(name="hostname")
        property(name="appname")
        property(name="procid")
        property(name="msg")
    }
    action(type="omfwd"
           target="logstash.example.com"
           port="5044"
           protocol="tcp"
           template="json_template"
           action.resumeRetryCount="-1"
           queue.type="linkedList"
           queue.size="10000")
    

• 不可变与校验
  • 在集中存储侧启用WORM/不可变对象（如对象存储的合规保留策略），并建立完整性校验（如定期校验和/签名）与审计机制，确保“生成—传输—存储”全链路不可随意更改。

四 日志脱敏与内容安全

• 源头与传输链路脱敏
  • 应用与中间件层避免记录密码、信用卡号、身份证号、SessionID等敏感字段；无法避免时，在Logstash/Fluentd等采集端进行正则替换/哈希/删除。
  • Logstash 示例（将 password= 后的值替换为 [REDACTED]）：

    filter {
      grok {
        match => { "message" => "(?<pre>password=)(?<pwd>[^ ]+)" }
        add_field => { "sanitized_message" => "%{pre}[REDACTED]" }
        remove_field => [ "pwd" ]
      }
      mutate {
        replace => { "message" => "%{sanitized_message}" }
        remove_field => [ "sanitized_message" ]
      }
    }
    

• 防日志投毒
  • 过滤或转义写入日志的危险字符（如 < > ? ( ) [ ] { } & ; 等），避免将未过滤的 User-Agent/请求参数直接写入；确保日志文件被访问时返回text/plain而非 text/html，降低脚本执行风险。

五 轮转、保留、监控与应急响应

• 日志轮转与归档
  • 使用 logrotate 或 cronolog 按天/小时轮转，压缩归档并设置保留周期（如 30 天），防止磁盘被占满。
  • cronolog 示例（按天轮转）：

    CustomLog "|/usr/sbin/cronolog /var/log/httpd/access_%Y%m%d.log" combined
    ErrorLog  "|/usr/sbin/cronolog /var/log/httpd/error_%Y%m%d.log"
    

• 保留策略与合规
  • 结合业务与法规（如 GDPR/HIPAA/PCI DSS）制定保留期限与异地备份策略，过期日志按流程安全销毁。
• 监控与告警
  • 重点监测：高频 POST /login、访问敏感路径（如 wp-admin、phpmyadmin）、可疑 User-Agent、异常 4xx/5xx、以及日志写入速率异常等。
  • 快速排查示例：

    # 暴力登录尝试（按 IP 统计）
    grep "POST /login.php" /var/log/httpd/access_log | awk '{print $1}' | sort | uniq -c | sort -nr
    
    # 扫描器与爬虫特征
    grep -i "sqlmap\|nikto\|wget\|curl\|harvest" /var/log/httpd/access_log
    
    # 敏感路径访问
    grep "wp-admin\|wp-login\|adminer\|phpmyadmin" /var/log/httpd/access_log
    

• 事件响应
  • 发现日志被访问或篡改：立即隔离受影响系统、从备份/集中日志恢复、排查入侵痕迹（Web 访问日志、系统认证日志 /var/log/secure）、修补漏洞并重置凭证。