Products
96SEO 2025-09-20 11:55 0
Syslog是CentOS系统日志记录的核心工具,其平安性直接关系到系统运行状态的监控有效性及敏感信息的保护。以下从访问控制、 传输加密、存储平安、审计监控、系统加固五大维度,梳理具体的平安加固措施:
默认配置: # cat /etc/login.defs |grep PASS_ |grep -v'#' PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7
加固方案: 1.备份配置文件: # cp -a /etc/login.defs /etc/login.defs.defa...
确保rsyslog服务以syslog用户身份运行,避免使用root权限:ps -ef | grep rsyslog # 确认进程用户为syslog
定期备份/etc/及日志文件到远程存储,防止配置丢失:cp /etc/ /backup/_$
若Syslog需传输敏感信息,应使用TLS/SSL加密日志流,防止数据被窃听或篡改:
在/etc/中加载TLS模块并指定证书路径:module # 启用TCP模块
module # 启用转发模块
module # 加载TLS模块
input
action
重启rsyslog服务使配置生效:systemctl restart rsyslog
确保日志文件仅能被root用户和syslog组读取:chown root:syslog /var/log/messages
chmod 640 /var/log/messages
对关键日志文件添加不可更改属性,避免日志被恶意删除或修改:chattr +i /var/log/messages # 解除属性需用`chattr -i`
通过logrotate工具自动分割、压缩旧日志,防止日志文件过大占用磁盘空间。编辑/etc/或创建/etc//rsyslog自定义规则:/var/log/messages {
daily # 每天轮转
rotate 7 # 保留7份
compress # 压缩旧日志
missingok # 文件缺失不报错
notifempty # 空文件不轮转
sharedscripts # 所有日志轮转完成后施行脚本
postrotate systemctl kill -s HUP # 重新加载rsyslog以继续记录
endscript}
使用auditd工具监控对Syslog配置文件和日志文件的访问,记录所有修改操作:auditctl -w /etc/ -p wa -k syslog_conf_mod # 监控配置文件修改
auditctl -w /var/log/messages -p ra -k syslog_access # 监控日志文件读取
使用firewalld限制Syslog服务端口的访问,仅放行可信源:
编辑/etc/配置文件,注释或删除UDP监听的全局配置,仅允许本地进程发送日志:
在/etc/中添加AllowedSender规则,仅允许特定IP段或主机发送日志:vi /etc/rsyslog.conf
auth,authpriv.* @192.168.1.100;AllowedSender UDP, 192.168.1.0/24
使用tail -f实时查看日志文件,或每日日志报告:tail -f /var/log/messages
logwatch --service syslog --output mail # 发送邮件报告
当日志量突增或服务宕机时通知管理员:firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="514" protocol="tcp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="514" protocol="udp" accept'
firewall-cmd --reload
通过以上措施,可全面覆盖CentOS Syslog的平安风险点,从访问控制、数据传输、存储保护到监控审计,构建多层防御体系,保障系统日志的完整性、机密性和可用性。
Demand feedback
