CentOS Syslog与SELinux如何协同工作

CentOS 中 Syslog 与 SELinux 的协同机制

在 CentOS 上，日志由 systemd-journald 与 rsyslog 负责采集与落盘，而 SELinux 通过类型强制（TE）与布尔值控制进程对日志相关资源（如 /dev/log、日志文件、Unix 域套接字、网络端口）的访问。二者协同的关键在于：让日志守护进程与被管进程具备正确的 SELinux 类型 与 权限，并在 Enforcing 模式下依然能写入目标日志；当访问被拒时，借助 auditd/rsyslog 的日志定位并修正策略或上下文。

日志与 SELinux 的职责分工

• 日志采集链路：内核与用户态进程产生的日志由 systemd-journald 统一采集，随后 rsyslog 按规则写入文件或转发；本地日志常用 /dev/log（Unix 域套接字）与内核日志接口。常见落盘路径包括 /var/log/messages、/var/log/secure、/var/log/audit/audit.log 等。
• SELinux 控制点：进程（如 rsyslogd_t）、日志文件（如 var_log_t）、套接字与端口都有明确的类型与权限；当 auditd 运行时，拒绝事件优先写入 /var/log/audit/audit.log，否则可能出现在 /var/log/messages；可用 sealert 对拒绝进行分析并给出修复建议。

典型协同场景与配置要点

• 本地日志写入：确保 rsyslogd 对目标日志目录与文件具有写权限（类型如 var_log_t），必要时用 semanage fcontext/restorecon 修正文件上下文；验证 /dev/log 的访问是否被允许。
• 通过 Unix 域套接字采集应用日志：例如 HAProxy 将日志发往 /var/lib/haproxy/dev/log。在 Enforcing 下需为 rsyslogd_t 授予对 haproxy_var_lib_t 类型目录/套接字的访问，可通过自定义 TE 模块加载策略解决。
• 远程 Syslog（UDP/TCP 514）：启用 rsyslog 的相应模块（如 imudp/imtcp），并确认 SELinux 布尔与策略允许 rsyslogd 绑定/监听 514 端口（常见类型如 syslogd_port_t）；同时开放防火墙策略。
• 内核日志：由 klogd 从内核环形缓冲读取并经 syslog 接口转发，确保相关套接字与权限配置正确。

排错流程与常用命令

• 确认运行状态：使用 getenforce/sestatus 查看是否为 Enforcing/Permissive/Disabled；仅在排障时短时切换 Permissive 验证是否为 SELinux 所致（生产不建议长期关闭）。
• 定位拒绝事件：优先查看 /var/log/audit/audit.log（若 auditd 运行），或使用 tail -f /var/log/messages 观察 syslog 自身日志；用 sealert -a /var/log/audit/audit.log 获取修复建议。
• 修正策略与上下文：
  • 文件/目录上下文：使用 semanage fcontext -a -t var_log_t ‘/var/log/myapp(/.*)?’ & & restorecon -Rv /var/log/myapp；
  • 端口标签：使用 semanage port -a -t syslogd_port_t -p udp 514；
  • 自定义 TE 模块：编写 .te 文件，使用 checkmodule/semodule_package/semodule -i 编译加载（如为 rsyslog-haproxy 场景）。
• 验证连通与监听：用 netstat -anp | grep syslog 确认 rsyslog 正在监听 514，用 tcpdump -Ani any port 514 验证报文是否到达。

安全与运维建议

• 优先保持 SELinux Enforcing，以最小权限原则通过策略/上下文修正问题，而非直接关闭。
• 将日志置于独立分区，限制日志文件大小与保留策略，避免日志耗尽磁盘。
• 远程日志建议启用 TCP 并使用加密通道，配合防火墙仅允许受控来源访问 514 端口。
• 对关键业务日志建立集中化收集与审计，定期用 sealert 与自定义报表巡检拒绝事件趋势。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！