「这是我参与11月更文挑战的第4天,活动详情查看:2021最后一次更文挑战」。
审计和日志配置
审计服务
查看审计服务是否启动。如停止必须启动,且设置为开机启动
systemctl status auditd
systemctl start auditd
systemctl enable auditd
日志服务
查看日志服务是否启动。如停止必须启动,且设置为开机启动
systemctl status rsyslog
systemctl start rsyslog
systemctl enable rsyslog
日志采集
将审计日志,系统日志,安全日志等等统计采集到日志中心(日志中心可以使用elasticsearch或云日志服务),采集组件可以使用filebeat或者logstack,或云日志提供的工具
审计日志路径
/var/log/audit/audit.log
系统日志路径
/var/log/messages
安全日志路径
/var/log/secure
定时任务日志
/var/log/cron
像安全日志,定时任务日志,都可以做 日志分析,是否有预期之外的任务,是否服务器被攻击等等
数据存储
日志采集到统一的日志中心后,至少要保留半年,最好是做一个异地备份另外两年,方便必要回溯,这种两年的数据可以压缩归档 存起来
系统软件
系统安装好之后,一些不需要的组件可以卸载掉(比如postfix,vsfxpd等如不需要),也不要安装vnc等一些远程桌面类软件,避免不必要的安全风险
#卸载邮件服务(先确认是否需要) 可选
yum remove postfix
#卸载ftp服务(先确认是否需要) 可选
yum remove vsftpd
时间同步
所有系统上需要保持时间同步一致,时间错乱,日志记录的日志也是错误的
这里以ntp服务为例子
yum install ntp -y
systemctl start ntpd
systemctl enable ntpd
timedatectl set-timezone Asia/Shanghai
timedatectl set-ntp yes
timedatectl
当然现在centos7比较流行chrony
yum install chrony -y
#在server行加上各公有云开放的时间服务器 重启既可
vim /etc/chrony.conf
systemctl start chronyd
systemctl enable chronyd
端口
像ssh或者redis,mysql,还有其他一些应用,可以将这些服务的端口改成其他的,不要默认多少就是多少,比如把ssh 22端口改成12211端口等
防病毒
linux上的开源杀毒软件不多,这里有一款一直在更新的 ClamAV
官网: www.clamav.net/
具体的安装使用直接看 官方文档既可。。不要在生产稳定业务机器运行,尽量先在无业务机测试
