Linux安全基线检查与加固-日志管理

  在Linux系统中，日志管理是确保系统安全的重要措施之一。通过有效的日志管理，可以收集、审计和监控系统的关键事件，以便及时发现和应对潜在的安全问题。本文将介绍Linux安全基线的检查与加固方法，并重点探讨日志管理的实践。

重要性和作用

日志是系统安全运维的基石，它可以为系统管理者提供以下关键信息和作用：

1. 安全审计和调查：通过日志可以记录和审计系统的关键活动，例如登录尝试、文件访问和配置更改。当出现安全事件时，可以通过分析日志找出问题的源头。

2. 即时告警和警报：日志记录可以帮助管理员及时发现潜在的安全漏洞或异常活动，并引发相应的警报和告警。

3. 故障排查和性能分析：日志可以帮助管理员识别系统故障和性能问题的原因，以便及时采取措施进行修复和优化。

检查rsyslog服务启用状况以及对登录事件的记录

安全基线项名称	检查rsyslog服务是否启用且对所有登录事件都记录
检查操作步骤	执行命令:more /etc/rsyslog.conf 查看authpriv的值
基线符合性性判定依据	authpriv值为authpriv.* /var/log/secure即合规，否则不合规 注:/var/log/secure为可变项
安全加固方案	参考配置操作 1、执行备份:cp - p /etc/rsyslog.conf /etc/rsyslog.conf_bak 2.执行命令:systemctl enable rsyslog 添加开机自启动 3、执行命令:systemctl start rsyslog 启动服务 4、执行命令: vi/etc/rsyslog.conf 查看authpriv值 将其设置为 authpriv.*/var/log/secure # 将 authpirv 的任何级别的信息记录到 /ar/log/secure 文件中 5、执行命令:svstemctl restart rsyslog
备注	rsyslog文件解析

 rsyslog文件解析

/etc/rsyslcg.conf文件中的每一行代表一条设置值，每一条设置值的语法为:消息类型 执行动作
“消息类型”指定哪些消息需要记录，“执行动作“则告诉系统日志服务该如何处理这些消息
"消息类型" 以消息来源.优先级 的格式指定消息的种类
消息来源”表示消息是从哪个子系统传送过来的，来源主要有以下这些
        authpriv:与用户安全、验证有关的消息:
        sron:与计划任务有关的消息，
        daemon;与一般服务有关的消息:
        kern:来自系统内核的消息
        mail;来自邮件系统的消息:
        localN:保留
”优先级“则用来指出消息的优先等级，即消息的重要程度。其优先级别如下(数字等级越小，优先级越高，消息越重要但记录的信息越少》
        0 EMERG(紧急):会导致主机系统不可用的情况
        1 ALERT(警告):必须马上采取措施解决的问题
        2 CRIT(严重)，比较严重的情况。
        3 ERR(错误):运行出现错误。
        4 WARNING(提醒):可能影响系统功能，需要提醒用户的重要事件。
        5 NOTICE(注意)，不会影响正常功能，但是需要注意的事件。
        6 INFO(信息):一般信息。
        7 DEBUG(调试)，程序或系统调试信息等。
除此之外，"消息来源”与“优先级”可以使用星号(*)代表所有，因此*.就表示来自所有子系统的所有级别的清息。
而“执行动作*字段则用来定义如何处理接收到的消息，可以指定如下几项内容，        
​
        /PATH/FILENAME，将消息存储到指定的文件中，文件必须以斜线(/)开头的绝对路径命名:
        USERINLAME:将消息发送给指定的已经登录的用户
​
        @HOSTNAME:将清息转发到指定的日志服务器
        *，将消息发送给所有已经登录的用户。

 检查配置文件

 安全加固配置

[root@localhost cf]# systemctl enable rsyslog 

检查是否启用记录定时任务行为日志功能

安全基线项名称	执行命令:more /etc/rsyslog.conf 查看 cron 的值
检查操作步骤	corn值为cron.* 即合规，否则不合规注: /ar/log/cron为可变项
基线符合性性判定依据	authpriv值为authpriv.* /var/log/secure即合规，否则不合规 注:/var/log/secure为可变项
安全加固方案	参考配置操作 1、执行备份：cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak1 2、执行命令:vi /etc/rsyslog.conf 查看 cron 的值，将其设置为cron.* /var/log/cron # 即将 cron 的任何级别的信息记录到 /var/log/cron 文件中 3、执行命令:systemctl restart rsyslog 重启rsyslog 使配置生效

查看SSH LogLevel设置是否为INFO

安全基线项名称	确保SSH LogLevel设置为INFO
检查操作步骤	执行命令:more vi /etc/ssh/sshd config 找到 LogLevel 查看设置的级别是否为INFO
基线符合性性判定依据	LogLevel 的级别是INFO 且该行未被注释即合规，否则不合规
安全加固方案	参考配置操作 1、执行命令 : vi /etc/ssh/sshd_config 找到 LogLevel 将其设置为INFO，如果该行被注释，还应删掉该行前方的 # 2、执行命令:systemctl restart sshd 重启ssh服务使其生效

结语：日志管理是Linux系统安全基线的重要组成部分，通过合理的日志记录、分析和监控，可以帮助管理员及时发现和应对安全问题。在进行日志管理时，应配置合适的日志级别和轮转机制，保护日志的完整性，并确保日志的存储和保留符合安全和合规要求。最重要的是，管理员应定期分析和审查日志，及时处理异常事件，并建立有效的备份和归档机制，以确保日志的完整性和可追溯性。