1. 確保日志完整性:防止篡改與丟失
通過chattr命令給關鍵日志文件(如/var/log/messages��、/var/log/secure)添加不可更改屬性�����,阻止未經授權的修改���;同時配置logrotate進行日志輪轉����,避免單個文件過大導致數據覆蓋���。例如��,使用chattr +i /var/log/secure設置不可變屬性���,編輯/etc/logrotate.d/rsyslog配置每日輪轉��、保留30天壓縮日志(daily rotate 30 compress missingok)�。
2. 保障日志傳輸安全:加密與訪問控制
若需將日志傳輸到遠程服務器����,應啟用TLS/SSL加密(通過module(load="tls")加載TLS模塊�����,配置證書和密鑰)�,避免數據在傳輸過程中被竊?��?;同時使用firewalld限制Syslog端口(UDP/TCP 514)的訪問�,僅允許可信IP(如內網日志服務器)訪問�。例如��,配置firewall-cmd --permanent --add-source=192.168.1.0/24限制UDP 514端口僅內網可訪問���。
3. 規范日志存儲策略:保留期限與權限管理
根據合規要求(如GDPR���、等保)設置日志保留期限(如50天)���,通過logrotate的rotate參數控制保留數量��,并啟用壓縮節省存儲空間�����;設置日志文件權限為640(所有者可讀寫���,組可讀�,其他無權限)�,避免非授權用戶訪問敏感日志��。例如�,/etc/logrotate.d/rsyslog中配置compress delaycompress missingok rotate 50���,使用chmod 640 /var/log/secure設置權限��。
4. 實現全面的日志審計:監控與分析
使用auditd工具定義審計規則�,監控對敏感文件(如/etc/passwd�����、/etc/shadow)����、關鍵操作(如用戶登錄����、sudo使用�、進程執行)的訪問�����;通過ausearch查詢日志�����,aureport生成審計報告(如近期登錄事件��、文件修改記錄)�����。例如����,添加-w /etc/passwd -p wa -k passwd_change規則監控passwd文件的寫操作�����,使用aureport -k passwd_change生成報告�����。
5. 遵循合規的時間同步要求
確保所有系統和日志服務器使用NTP(網絡時間協議)同步時間�,避免日志時間戳不一致導致審計困難��。例如�����,安裝chrony服務(yum install chrony)��,配置/etc/chrony.conf同步公共NTP服務器(如server ntp.aliyun.com iburst)��,并啟動服務(systemctl start chronyd && systemctl enable chronyd)����。
6. 最小權限原則:降低攻擊面
為rsyslog服務分配最小必要權限���,例如限制其運行用戶為syslog(默認)��,僅允許訪問必要的日志目錄(如/var/log)���;定期更新rsyslog軟件包至最新版本��,修復已知安全漏洞�����。例如��,使用systemctl edit rsyslog設置User=syslog Group=syslog�����,通過yum update rsyslog更新軟件��。
