journald是rsyslog的现代化替代方案,也不是说完全替代,这两个都用
结构化二进制日志临时存放在/var/log/journal中,减少磁盘占用并提高读写效率
多来源日志收集自动收集:内核日志用户空间进程的标准输出/错误systemd Unit的日志syslog协议的日志硬件相关事件
日志查询工具journalctl按时间范围查询按Unit查询按PID查询、日志优先级查询实时跟踪日志
日志持久化与轮转默认systemd-journald持久化需要手动创建/var/log/journal、并修改配置文件&#x...
logrotate服务logrotate适合大多数系统日志和应用日志,支持按“大小、时间、个数”配置规则
通过cron(systemd-timer)定时执行,自动检测并执行所有预设轮转机制
配置文件
12345678910111213141516171819202122232425/etc/logrotate.conf/etc/logrotate.d/echo "/var/log/firewalld_deny.log { daily missingok rotate 7 copytruncate minsize 1M create ...
日志分类
1234567891011121314151617/var/log/message 系统通用日志,通常由rsyslog或syslog管理/var/log/dmesg 内核缓冲区日志,主要包含启动时内核与硬件信息/var/log/boot.log 专门记录系统启动过程中的事件,包含服务启动顺序成功/失败/var/log/cron 定时任务日志/var/log/maillog RHEL系系统邮件日志/var/log/mail.log Debian系系统邮件日志/var/log/firewalld firewalld服务运行状态/var/log/nftables nftables服务...
linux的通用四道权限:1.防火墙 - 网络层和传输层的访问控制2.服务权限 - 应用层面的访问控制3.selinux - 强制访问控制4.系统权限 - 文件的基础权限的访问控制
1.防火墙控制进出系统的网络流量工作在网络层和传输层iptables/nftablesfirewalld(管理工具)
2.服务权限控制谁可以访问运行在本机的具体应用程序工作在应用层如ssh 有白名单、黑名单等如数据库 通过GRANT语句定义用户和来源主机如web服务器 基于IP、用户认证等进行访问控制
3.强制访问控制为核心进程和文件同第二套更严格的标签化权限体系工作在内核层,在DAC基础上,实施M...
PAM是Sun公司在1995年开发的,目前是linux/unix的核心认证框架,全称为可插拔认证模块,一般是开发比较关心
PAM已经提前整合了各类认证库,比如本地密码库,ssh密钥库。核心目的是将认证功能和应用程序解耦,无需内置复杂的认证逻辑,只需要调用PAM接口就可以实现多样化的身份验证需求
12345678# pam认证原理应用程序(sshd) → PAM核心库(libpam.so) → PAM配置文件/etc/pam.d/应用名 → PAM模块(pam_unix.so)工作层次:应用程序层:发起认证请求,如用户登录、sudo,执行PAM提供的标准apiPAM核心库层:解析...
没有selinux的linux使用自主访问控制,即自己给自己权限,如果某个具有root权限的程序被攻破,那么攻击者就可以为所欲为
有selinux的linux引入了强制访问控制,即使一个程序以root权限运行,它的行为也必须也必须遵守selinux策略规则,他只能访问策略明确允许他访问的文件、端口和资源
selinux是一个极其强大的安全层,虽然在初期可能因为其复杂性给管理员带来调整,但理解其概念和工作原理后,能极大提升系统的整体安全性,生产环境推荐在充分测试后,使其保持在enforcing模式
selinux介绍1234567891011121314151617181920212223...
firewalld 红帽防火墙firewalld是 红帽从rhel7开始提供的一种防火墙工具,是一种iptables的前端,但是层次更高,支持命令行或者图形化两种管理方式
从一开始firewalld使用iptables作为后端,后面将默认后端切换为了nftables
firewalld使用zone(区域)概念,和华为的防火墙差不多,相当于策略模板,不同的场景可以选择不同的策略模板,以实现策略之间的快速切换:比如一个网卡eth0绑定了A区域,A区域绑定了eth0 1 2网卡
注:如果想要使用iptables-nft,需要停止防火墙服务,否则可能导致防火墙规则冲突
firewall-cmd...
arptables介绍arptables是linux中用于管理arp包过滤规则的工具,也基于netfilter框架
arp协议本身非常简单,缺乏安全验证机制,因此容易遭受攻击
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647# arptables应用场景1.防御arp欺骗攻击者伪造arp应答包,导致受害者的arp缓存被污染,将本应发送给合法主机的流量发送给了攻击者arptables可以桂枝规则,只允许来自可信MAC地址的arp应答包2.防御arp泛洪攻击者发送大量伪造...
iptables防火墙语法表用以对功能进行分组,最常用的有:
filter表 默认表,负责过滤数据包(常用
nat表 负责网络地址转换
mangle表 用以修改数据包头(不常用
raw表 决定是否对数据包进行状态跟踪(不常用
security表 最不常用的表,与selinux相关,用于MAC(强制访问控制)网络规则
这几张表的处理顺序是:raw→mangle→nat→filter→security
链
规则的有序集合,数据包在经过netfilter时,会进入对应的链进行检查
input 处理入栈请求的包
output 处理出栈包
forward 处理转发数据包,实现不同网段间通信
...
Netfilter介绍Linux内核防火墙基于netfilter框架实现,通过在内核网络协议栈中嵌入钩子点(链),来允许内核模块在数据包处理的关键阶段对其进行检查、修改、拦截或转发
链
NF_IP_PRE_ROUTING 数据包进入网络层后,路由决策前DNAT
NF_IP_LOCAL_IN 数据包被路由到本地主机
NF_IP_FORWARD 数据包要转发到其他主机
NF_IP_LOCAL_OUT 本地主机生成的数据包SNAT
NF_IP_POST_ROUTING 路由后,数据包即将离开本机SNAT
表
为了阻止复杂的过滤逻辑,netfilter定义了不同表:
filter表:用于数...
