Linux日志安全策略有哪些

Linux日志是系统安全审计和故障排查的核心，合理配置日志安全策略对系统安全至关重要。以下是全面的Linux日志安全策略方案：

一、基础日志配置

1. syslog服务强化

   • 使用rsyslog替代传统syslog（功能更强大）

   # 安装rsyslog
   yum install rsyslog  # RHEL/CentOS
   apt install rsyslog  # Debian/Ubuntu
   

   • 配置文件加固（/etc/rsyslog.conf）： conf $FileCreateMode 0640 # 日志文件权限 $DirCreateMode 0755 # 日志目录权限 $EscapeControlCharacters on # 防止日志注入

2. 日志文件权限控制

   chmod 640 /var/log/secure
   chown root:adm /var/log/auth.log
   

二、高级日志策略

1. 集中式日志管理

   • 配置日志服务器（在/etc/rsyslog.conf中添加）： conf *.* @192.168.1.100:514 # UDP传输 *.* @@192.168.1.100:514 # TCP传输
   • 推荐使用ELK Stack或Graylog实现日志分析

2. journald配置（Systemd系统）

   # /etc/systemd/journald.conf
   [Journal]
   Storage=persistent
   Compress=yes
   Seal=yes
   

三、安全审计配置

1. auditd服务配置

   # 监控关键文件访问
   auditctl -w /etc/passwd -p wa -k passwd_changes
   auditctl -w /etc/shadow -p wa -k shadow_changes
   

2. 常用审计规则示例

   # 监控sudo使用
   auditctl -a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo
   

四、日志监控与分析

1. 实时日志监控工具

   # 使用logwatch进行日志分析
   yum install logwatch  # RHEL/CentOS
   logwatch --output mail --range yesterday
   

2. 入侵检测集成

   • 配置OSSEC HIDS规则： xml <rule id="1001" level="10"> <match>Failed password</match> <description>SSH login failed</description> </rule>

五、日志保护措施

1. 日志防篡改技术

   # 使用chattr防止删除
   chattr +a /var/log/messages
   

2. 日志加密传输

   # rsyslog TLS配置示例
   $DefaultNetstreamDriver gtls
   $DefaultNetstreamDriverCAFile /etc/ssl/certs/ca.pem
   

六、合规性配置

1. 日志保留策略

   # /etc/logrotate.conf
   /var/log/secure {
      rotate 90
      daily
      compress
      missingok
      notifempty
   }
   

2. PCI-DSS日志要求

   • 确保记录以下事件：
     • 所有用户登录/注销
     • 特权操作
     • 文件访问失败
     • 系统配置变更

七、故障排查命令

# 查看最近登录
last -aiF

# 分析ssh登录失败
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c

# 检查可疑进程
ps auxf | grep -E '(ncat|sqlmap|john)'

最佳实践建议：

1. 实现日志的异地备份（至少保留180天）
2. 对敏感日志字段进行脱敏处理
3. 定期测试日志恢复流程
4. 建立日志分析自动化告警机制
5. 遵循最小权限原则配置日志访问

通过以上策略的综合实施，可以构建符合等保2.0三级要求的日志安全体系，有效支持安全事件调查和合规审计需求。