Ubuntu下Filebeat安全设置有哪些
导读:Ubuntu 下 Filebeat 安全设置清单 一 身份与权限最小化 以非 root用户运行 Filebeat,创建专用系统用户并锁定 shell,避免使用 root 直接启动。 严格管控配置与密钥文件的权限与属主,仅允许必要主体读取;...
Ubuntu 下 Filebeat 安全设置清单
一 身份与权限最小化
- 以非 root用户运行 Filebeat,创建专用系统用户并锁定 shell,避免使用 root 直接启动。
- 严格管控配置与密钥文件的权限与属主,仅允许必要主体读取;将证书、密钥放入受限目录(如 /etc/filebeat/ssl),并设置 600/640 权限与正确的属主属组。
- 在 systemd 服务单元中使用 User/Group 指令固定运行身份,避免以特权账户执行。
- 如运行 Elasticsearch 7.x/8.x,避免使用内置的 elastic 超级用户,创建最小权限专用用户(如 filebeat_writer)并为其授予仅写入目标索引的必要权限。
二 传输加密 TLS/SSL
- 对接 Elasticsearch 时优先使用 HTTPS,在 Filebeat 配置中启用 ssl.verification_mode=full 并指定 CA 证书,确保证书链与主机名校验严格;为密码等敏感信息使用 Filebeat Keystore 管理,避免在配置明文存放。
- 对接 Logstash 时启用 TLS 双向认证:Logstash 开启 ssl_verify_mode=force_peer 并配置信任的 CA;Filebeat 侧提供 client certificate/key 与 certificate_authorities,实现服务端与客户端的相互校验。
- 证书与密钥建议由受信任 CA签发,包含必要的 SAN(IP/DNS);自签名证书仅用于测试环境。
三 主机与网络安全
- 使用 UFW/iptables 仅开放必要端口(如到 Logstash 5044 的出站,或到 Elasticsearch 9200 的出站),对管理口与采集源网络进行最小暴露;在云环境结合 VPC/安全组做二层隔离。
- 将 Filebeat 与敏感后端(ES/Logstash)部署在隔离网段/VPC,通过内网通信,减少公网暴露面。
- 持续更新 Filebeat 及相关组件,及时修补已知漏洞;启用系统日志与 Filebeat 自身日志的集中采集与告警。
四 运行时安全与系统加固
- 启用 Seccomp 等内核系统调用限制,遵循最小系统调用原则;如遇 glibc ≥ 2.35 在部分旧版本 Filebeat 上出现 rseq 相关崩溃,优先升级版本(该问题在 7.17.2 起已修复),如临时处置仅允许必要系统调用,避免直接关闭 Seccomp。
- 启用 AppArmor/SELinux 对 Filebeat 进程进行强制访问控制(如限制可访问的路径与能力),减少被攻陷后的横向移动空间。
- 对采集的日志文件与目录设置最小权限,仅授予 Filebeat 运行用户读取权限;对输出目标(ES/Logstash)采用专用账号与最小权限角色。
五 快速配置示例
- 最小权限用户与目录
- 创建用户与目录:sudo useradd -r -M -s /usr/sbin/nologin filebeat;sudo mkdir -p /etc/filebeat/ssl
- 证书权限:sudo chown -R filebeat:filebeat /etc/filebeat;sudo chmod 600 /etc/filebeat/ssl/*
- 连接 Elasticsearch 的 TLS 与凭据
- 生成密钥库:sudo filebeat keystore create
- 添加密码:sudo filebeat keystore add ES_PWD
- 关键配置片段:
- output.elasticsearch.hosts: [“https://es.example.com:9200”]
- output.elasticsearch.ssl.verification_mode: full
- output.elasticsearch.ssl.certificate_authorities: [“/etc/filebeat/ssl/ca.crt”]
- output.elasticsearch.username: “filebeat_writer”
- output.elasticsearch.password: “${ ES_PWD} ”
- 连接 Logstash 的双向 TLS
- Filebeat 配置:
- output.logstash.hosts: [“logstash.example.com:5044”]
- output.logstash.ssl.enabled: true
- output.logstash.ssl.certificate_authorities: [“/etc/filebeat/ssl/ca.crt”]
- output.logstash.ssl.certificate: “/etc/filebeat/ssl/filebeat.crt”
- output.logstash.ssl.key: “/etc/filebeat/ssl/filebeat.key”
- Logstash 侧(input.beats)启用 ssl、ssl_verify_mode=force_peer 并配置 server 证书/key 与信任的 CA。
- Filebeat 配置:
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu下Filebeat安全设置有哪些
本文地址: https://pptw.com/jishu/787327.html