Ubuntu日志安全策略有哪些

Ubuntu 日志安全策略清单

一 日志采集与存储安全

• 启用并验证 journald 持久化：将 /etc/systemd/journald.conf 中的 Storage=persistent，确保日志落盘至 /var/log/journal，避免重启后丢失；仅在内存的 volatile 模式仅适合短期或容器场景。
• 加固日志目录与文件权限：对 /var/log/ 及关键日志（如 /var/log/syslog、/var/log/auth.log）设置最小权限，例如 640 root:adm，禁止普通用户读取；必要时限制 /var/log/ 的访问范围。
• 启用 FSS 前向安全密封（可选，高合规场景）：为 journal 日志生成密封密钥，周期性更新，便于检测历史日志是否被篡改。
• 将关键日志做 远程集中存储：通过 rsyslog 将日志以 TLS 加密发送至集中日志服务器，避免本地被篡改或删除；仅允许受控网段/IP 访问日志服务端口。
• 保护审计日志自身：对 /var/log/audit/audit.log 设置严格权限（如 600 root:root），并配置 auditd 的日志轮转参数（如 max_log_file、num_logs）。

二 访问控制与完整性

• 精细化 rsyslog 访问控制：仅开放必要端口（如 514/UDP、514/TCP）与来源网段；禁用不必要的模块与输入插件，减少攻击面。
• 强化 journald 本地访问：仅将需要查看日志的管理员加入 adm 或 systemd-journal 组；普通用户默认仅能查看自身日志。
• 启用 完整性保护：对审计日志启用 auditd 规则，监控对 /etc/passwd、/etc/shadow、/var/log/audit/audit.log 等关键文件的读写与属性更改；对日志目录设置不可随意删除/重命名（结合文件系统权限与运维流程）。

三 保留周期与容量控制

• 配置 logrotate 策略：按日/周轮转、压缩归档、保留近 N 份（如 rotate 7/30），对异常增长的应用日志单独设置规则；必要时在轮转后执行服务 reload 确保日志句柄正常。
• 配置 auditd 容量与保留：在 /etc/audit/auditd.conf 中设置 max_log_file（单文件大小，单位 MB）与 num_logs（保留文件数），防止审计日志占满磁盘导致系统异常。
• 定期清理与归档：对超过保留期的历史归档进行 加密归档与异地/离线备份，满足合规与取证需求。

四 时间同步与审计追踪

• 启用 NTP/chrony 时间同步：确保系统时间准确，避免因时间漂移导致日志关联、取证与审计结论失效。
• 启用并固化 auditd 审计规则：覆盖账户与权限变更（如监控 /etc/passwd、/etc/shadow）、登录认证（如 SSH/PAM 相关调用）、敏感命令执行（如 execve）、以及审计日志自身防篡改；规则写入 /etc/audit/rules.d/ 以实现持久化。
• 结合 journald 结构化查询 与 rsyslog 文本归档：用 journalctl 做快速检索与取证分析，用 rsyslog 输出到文本并长期保留与集中化。

五 监控告警与响应

• 部署 Logwatch/Logcheck 等日/周报工具：生成高/中/低优先级摘要并邮件发送，及时发现异常登录、权限变更与服务故障。
• 配置 Fail2ban 联动防火墙：基于 /var/log/auth.log 等识别暴力破解与异常行为，自动封禁来源 IP，降低持续性攻击风险。
• 建立 集中监控与告警 流程：对关键事件（如多次认证失败、sudo 提权、SSH 异常登录、关键文件变更）设置实时告警与处置预案。