rsyslog

1.身份鉴别 1.1 检查是否设置口令复杂度 #vi /etc/pam.d/common-password 改为如下两行： password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 password required pam_unix2.so use_authtok nullok 密码要求： （minlen=8）最少8位，（ucredit=-1）至少包含1个大写字母，（lcredit=-1）至少包含一个小写字母，（dcredit=-1）至少包含一个数字个数，（ocredit=-1）至少包含一个特殊字符 1.2 检查是否设置口令生存期 #vi /etc/login.defs 中确保为如下值 PASS_MAX_DAYS 90 1.3 检查是否删除无关账号 锁定如下账号 锁定后登陆页面不会显示该用户 #usermod -L games #usermod -L nobody 2.访问控制 2.1 检查是否配置登陆超时时间设置 #vi /etc/profile 确保如下设置 export TMOUT=600 2.2 检查是否设置文件与目录缺省权限 #vi /etc/profile 确保如下设置 umask 027 2.3 普通用户不允许Root登录 vi /etc/pam.d/su 添加 auth

最近搭一个框架需要用到iptables做映射，学习了下iptables的原理，总结下方便以后查~。 <!-- more--> 参考并转载于以下链接： http://www.cnblogs.com/metoy/p/4320813.html http://www.ha97.com/4093.html 一、iptables介绍 iptables是Linux中对网络数据包进行处理的一个功能组件，就相当于防火墙，可以对经过的数据包进行处理，例如：数据包过滤、数据包转发等等，一般例如Ubuntu等Linux系统是默认自带启动的。 二、iptables结构 iptables其实是一堆规则，防火墙根据iptables里的规则，对收到的网络数据包进行处理。iptables里的数据组织结构分为：表、链、规则。 表（tables）## 表提供特定的功能，iptables里面有4个表： filter表、nat表、mangle表和raw表，分别用于实现包过滤、网络地址转换、包重构和数据追踪处理。 每个表里包含多个链。 链（chains）## 链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据

导读 在数据为王的时代，日志管理是一个绕不开的话题，相应的开源软件有不少，比如热门的三件套：Logstash、ElasticSearch、Kibana，但这套开源日志系统有点重量级。 一台服务器的日志对系统工程师来说是至关重要的，一旦服务器出现故障或被入侵，我们需要查看日志来定位问题的关键所在,所以说对于线上跑的服务器而言日志应该合理的处理及管理。 Syslog协议 系统日志（Syslog）协议是在一个IP网络中转发系统日志信息的标准，它是在美国加州大学伯克利软件分布研究中心（BSD）的TCP/IP系统实施中开发的，目前已成为工业标准协议，可用它记录设备的日志。Syslog记录着系统中的任何事件，管理者可以通过查看系统记录随时掌握系统状况。系统日志通过Syslog进程记录系统的有关事件，也可以记录应用程序运作事件。通过适当配置，还可以实现运行Syslog协议的机器之间的通信。通过分析这些网络行为日志，可追踪和掌握与设备和网络有关的情况。 在Unix类操作系统上，syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

#（1）日志基础 ####1）简介 rsyslog：记录大部分与系统操作有关，例如安全，认证sshd，su，计划任务at，cron rsyslog日志可以存在本地，也可以存放在远程服务器 ####2）常见的日志文件 /var/log/messages //系统主日志文件 /var/log/secure //认证丶安全 /var/log/maillog //跟邮件postfix有关 /var/log/cron //crond，at进程产生的日志 /var/log/dmesg //和系统启动有关 /var/log/audit/audit.log //系统审计日志 /var/log/yum.log //yum日志 /var/log/xferlog //和访问FTP服务器有关 w //当前登录的用户 /var/log/wtmp last //最近登录的用户 /var/log/btmp lastlog //所有用户的登录情况 /var/log/lastlog ####3）例 统计登录失败的top5 ip地址 #grep "failure" /var/log/secure | awk -F'[ =]+' '{print $18}' | grep -v user | sort | uniq -c | sort -k1 -rn | head -5 统计登录成功的top5 ip地址 #grep

1.关闭防火墙 systemctl stop firewalld && systemctl disable firewalld 2.关闭selinux vim /etc/sysconfig/selinux 修改 SELINUX=disabled 3.安装keepalived等 yum -y install keepalived ipvsadm net-tools gcc gcc-c++ make popt-devel kernel-devel openssl-devel #设置开机启动 systemctl enable keepalived 4.修改keepalived.conf vim /etc/keepalived/keepalived.conf keepalived.conf 配置，注意修改ip和端口 ! Configuration File for keepalived global_defs { router_id lvs1 #router_id 机器标识，通常为hostname，但不一定非得是hostname。故障发生时，邮件通知会用到。 } vrrp_instance VI_1 { #vrrp实例定义部分 state MASTER #设置lvs的状态，MASTER和BACKUP两种，必须大写，只能一个MASTER interface ens33 #设置对外服务的接口

对于企业来说，安全加固是一门必做的安全措施。主要分为：账号安全、认证授权、协议安全、审计安全。总的来说，就是4A（统一安全管理平台解决方案），账号管理、认证管理、授权管理、审计管理。用漏洞扫描工具扫描了一下自己的阿里云主机，发现很多系统问题不合格，所以列举总结了以下Linux系统安全加固的方法，仅供参考。 1 、用户账号 --- 唯一身份。 2 、统一认证 --- 你是谁。 3 、授权管理 --- 你有什么权限。 4 、操作审计 --- 你可以干什么。 以下文档规定了国内4A认证公司系统维护管理的Linux操作系统的主机应当遵循的操作系统安全性设置标准，旨在之道系统管理人员或者安全检查人员进行Linux操作系统的安全合规性检查和配置。 第一类：账号口令 1 ）、口令生存期 [root@wenzhiyi ~]# vim /etc/login.defs PASS_MAX_DAYS 90 用户的密码不过期最多的天数 PASS_MIN_DAYS 10 密码修改之间最小的天数 PASS_WARN_AGE 7 口令失效前多少天开始通知用户修改密码 2 ）、口令复杂度 [root@wenzhiyi ~]# vim /etc/pam.d/system-auth,在文件中找到如下内容: password requisite pam_cracklib.so 将其修改为: password

1 分析日志文件 日志文件是用于记录Linux系统中各种运行消息的文件，不同的日志文件记载了不同类型的信息，如Linux内核消息、用户登录时间、程序错误等； 日志文件对于诊断和解决系统中的问题有很大帮助，因为Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件。 在Linux系统中，日志数据主要包括三种类型： 内核及系统日志：这种日志数据由系统服务rsyslog统一管理，根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。 用户日志：用与记录Linux系统用户登录及退出系统的相关信息，包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。 程序日志：有些应用程序会选择由自己独立管理一份日志文件（而不是交给rsyslog服务管理），用于记录本程序运行过程中的各种事件消息。 Linux系统本身和大部分服务器程序的日志文件默认都放在目录/var/log/下，一部分程序公用一个日志文件，一部分程序使用单个日志文件，而有些大型服务器程序由于日志文件不止一个，所以会在/var/log/目录中建立相应的子目录存放日志文件。 常用的日志文件： /var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息、包括启动、1/0错误、网络错误、程序故障等。 /var/log/cron

《Linux一线运维实战》 清华大学出版社，即将出版 日志是记录操作系统及其上的应用被操作或运行过程中遗留下来的痕迹，通过日志的内容就可以发现系统中存在的问题。对于系统上的应用通常是每天产生一个日志文件，如果应用量比较大那么日志文件的数据也大，因此应该有维护日志的习惯。 24.2.1 系统日志功能配置管理 在系统中所做的动作都被相关的日志记录下来，所记录的信息要不就来自内核空间要不就来自用户空间。系统的日志由rsyslog进程管理，该服务的配置文件为/etc/rsyslog.conf，通过这个配置文件就可以对系统的日志功能进行配置。 1.日志系统rsyslog基本配置 rsyslog是syslog的升级版，它具有日志集中式管理的功能，并对系统所产生的信息进行收集和分析，然后根据配置文件中的设定按信息的类型和级别分别写入到不同的日志文件中。与syslog相比，rsyslog增加了一些典型的新功能：  支持直接把日志写入到数据库；  增加日志队列（内存队列和磁盘队列）功能；  灵活的模板机制，使日志输出格式多样化；  采用插件式结构，支持多样的输入、输出模块； 默认配置下日志信息都被写入到/var/log/目录下对应的日志文件中，这些路径是在rsyslog的配置文件/etc/rsyslog.conf下设置，该配置文件的配置信息如下（部分注释性的配置信息已被省略）。 ……

作者：冯忠旗 juejin.im/post/5cfde01bf265da1bba58f863 一、背景 对于互联网应用和企业大型应用而言，多数都尽可能地要求做到7*24小时不间断运行，而要做到完全不间断运行可以说“难于上青天”。为此，对应用可用性程度的衡量标准一般有3个9到5个9。 对于一个功能和数据量不断增加的应用，要保持比较高的可用性并非易事。为了实现高可用，「付钱拉」从避免单点故障、保证应用自身的高可用、解决交易量增长等方面做了许多探索和实践。 在不考虑外部依赖系统突发故障，如网络问题、三方支付和银行的大面积不可用等情况下，「付钱拉」的服务能力可以达到99.999%。 本文重点讨论如何提高应用自身的可用性，关于如何避免单点故障和解决交易量增长问题会在其他系列讨论。 为了提高应用的可用性，首先要做的就是尽可能避免应用出现故障，但要完全做到不出故障是不可能的。互联网是个容易产生“蝴蝶效应”的地方，任何一个看似很小的、发生概率为0的事故都可能出现，然后被无限放大。 大家都知道RabbitMQ本身是非常稳定可靠的，「付钱拉」最开始也一直在使用单点RabbitMQ，并且从未出现运行故障，所以大家在心理上都认为这个东西不太可能出问题。 直到某天，这台节点所在的物理主机硬件因为年久失修坏掉了，当时这台RabbitMQ就无法提供服务，导致系统服务瞬间不可用。 故障发生了也不可怕

１、查询系统是否已安装sudo、syslog程序 [ root@shangke ~ ] # rpm -qa|egrep "sudo|syslog" rsyslog-5.8.10-10.el6_6.x86_64 sudo-1.8.6p3-19.el6.x86_64 如果没有安装，则用yum安装，yum install -y sudo syslog 2、配置/etc/sudoers 增加配置“Defaults logfile=/var/log/sudo.log”到/etc/sudoers中 [ root@shangke ~ ] # echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers [ root@shangke ~ ] # tail -1 /etc/sudoers ##检查操作是否成功 Defaults logfile = /var/log/sudo.log [ root@shangke ~ ] # visudo -c ##检查sudoers文件语法 /etc/sudoers: parsed OK 3、配置系统日志 增加配置local2.debug到/etc/syslog.conf中（Centos5.8中） 增加配置local2.debug到/etc/rsyslog.conf中（Centos6.4中） [ root