CentOS下Filebeat安全性怎樣保障

在CentOS系統上配置和運行Filebeat時，確保其安全性是非常重要的。以下是一些關鍵的安全設置步驟和建議：

使用非特權用戶運行Filebeat

• 創建一個專門的用戶來運行Filebeat，例如 elkuser。
• 編輯 /etc/passwd 文件，添加新用戶并設置密碼。
• 使用 useradd 命令創建用戶：

  sudo useradd elkuser
  

• 設置用戶密碼：

  sudo passwd --stdin elkuser
  

• 以該用戶身份運行Filebeat：

  sudo -u elkuser /usr/bin/filebeat
  

啟用TLS/SSL加密

• 為Filebeat和Logstash之間的通信配置SSL/TLS加密，確保數據傳輸的安全性。
• 制作自簽的CA證書和數字證書，并將它們放置在相應的目錄下。
• 編輯Filebeat的 filebeat.yml 配置文件，添加SSL相關配置：

  output.elasticsearch:
    hosts: ["logstash:5044"]
    ssl.certificate: "/etc/certs/filebeat.crt"
    ssl.key: "/etc/certs/filebeat.key"
    ssl.certificate_authorities: ["/etc/certs/ca.crt"]
  

精細化訪問控制

• Elasticsearch 角色定義：

  {
    "cluster": ["monitor"],
    "indices": [
      {
        "names": ["app-logs-*"],
        "privileges": ["read"],
        "query": {
          "term": {
            "team": "devops"
          }
        }
      }
    ]
  }
  

防火墻設置

• 使用 firewalld 限制Filebeat的網絡訪問，只允許特定的IP地址或網絡段訪問Filebeat服務：

  sudo firewall-cmd --permanent --add-service=filebeat
  sudo firewall-cmd --reload
  

定期更新和監控

• 定期更新Filebeat到最新版本，以確保安全補丁的及時應用。
• 監控Filebeat的運行狀態和日志文件，及時發現并處理異常情況。

敏感數據脫敏

• 使用Logstash過濾器示例（脫敏身份證號）：

  filter {
    mutate {
      gsub => ["message", "(\d{6})\d{8}(\d{4})", "\1********\2"]
    }
  }
  

其他安全建議

• 禁用SELinux和防火墻（不推薦，除非有特殊需求）：

  sudo setenforce 0
  sed -i 's/selinuxenforcing/selinuxdisabled/g' /etc/selinux/config
  sudo systemctl stop firewalld
  sudo systemctl disable firewalld
  

通過以上步驟，您可以有效地增強CentOS系統上Filebeat的安全性，防止潛在的安全威脅和攻擊。