在CentOS系统的日常运维中,系统日志存储了服务运行、错误告警、用户操作等关键信息,默认配置下部分普通用户可能具备查看系统日志的权限,容易造成敏感信息泄露。合理限制用户对系统日志的访问权限,是提升系统安全性的重要举措。

系统日志的默认存储路径与权限
CentOS系统的常规日志默认存储在/var/log目录下,不同服务的日志有独立的存储文件,默认的权限设置通常允许root用户完全读写,部分日志文件会赋予其他用户读取权限。我们可以通过以下命令查看常见日志文件的默认权限:
# 查看/var/log目录下日志文件的权限信息 ls -l /var/log/messages /var/log/secure /var/log/cron
常见日志文件的默认权限通常为-rw-------或者-rw-r--r--,后者就意味着所有用户都可以读取该日志内容。
通过文件权限与用户组限制访问
修改日志文件的权限
最直接的方式是修改日志文件本身的权限,移除其他用户的读取权限。比如我们要限制所有用户访问/var/log/messages日志,可以执行以下命令:
# 移除/var/log/messages的其他用户读权限 chmod o-r /var/log/messages # 确认权限修改结果 ls -l /var/log/messages
但是这种方式只对当前已存在的日志文件生效,当日志轮转生成新的日志文件时,权限会恢复默认,因此需要结合日志轮转配置使用。
创建专用日志用户组
我们可以创建一个专用的用户组,将需要访问特定日志的用户加入该组,然后只给这个组赋予对应日志的读取权限。首先创建日志访问组:
# 创建名为log_reader的用户组 groupadd log_reader # 将用户test_user加入log_reader组 usermod -aG log_reader test_user
接着修改日志文件的属组并调整权限:
# 修改/var/log/secure的属组为log_reader chgrp log_reader /var/log/secure # 给属组赋予读权限,移除其他用户的所有权限 chmod 640 /var/log/secure
配置日志轮转规则
为了让新生成的轮转日志保持相同的权限配置,需要修改/etc/logrotate.conf或者对应服务的日志轮转配置文件。以/var/log/secure为例,修改/etc/logrotate.d/syslog文件中的对应配置:
/var/log/secure {
missingok
weekly
rotate 4
create 640 root log_reader
compress
delaycompress
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
其中create 640 root log_reader表示轮转生成新日志文件时,权限设置为640,属主为root,属组为log_reader。
通过SELinux策略限制日志访问
如果CentOS系统开启了SELinux,还可以通过SELinux的策略进一步限制用户访问日志。首先查看SELinux的状态:
# 查看SELinux运行状态 getenforce
如果是Enforcing模式,可以创建自定义SELinux策略模块,限制普通用户读取/var/log目录下的文件。首先创建策略源文件:
# 创建策略源文件log_restrict.te
cat > log_restrict.te << EOF
policy_module(log_restrict, 1.0)
gen_require(`
type user_t;
type var_log_t;
')
# 禁止user_t类型的进程读取var_log_t类型的文件
dontaudit user_t var_log_t:file read;
EOF
然后编译并加载该策略模块:
# 编译策略模块 checkmodule -M -m -o log_restrict.mod log_restrict.te # 打包策略模块 semodule_package -o log_restrict.pp -m log_restrict.mod # 加载策略模块 semodule -i log_restrict.pp
自定义rsyslog日志存储规则
rsyslog是CentOS系统默认的日志服务,我们可以通过修改/etc/rsyslog.conf或者/etc/rsyslog.d/目录下的配置文件,自定义日志的存储路径和权限。比如我们要将auth相关的日志记录到自定义路径,并限制只有特定用户组可以访问:
# 在/etc/rsyslog.d/目录下创建自定义配置 cat > /etc/rsyslog.d/custom_auth.conf << EOF # 将authpriv日志存储到自定义路径 authpriv.* /var/log/custom_auth.log # 设置新生成日志的权限和属组 $FileCreateMode 0640 $FileGroup log_reader EOF
修改完成后重启rsyslog服务使配置生效:
systemctl restart rsyslog
配置验证与注意事项
配置完成后,我们可以切换到普通用户验证权限是否生效:
# 切换到test_user用户 su - test_user # 尝试读取被限制的日志文件 cat /var/log/messages
如果配置正确,普通用户会收到权限拒绝的提示。需要注意,修改系统日志权限可能会影响部分依赖日志的监控服务或者运维工具,调整前建议先在测试环境验证,同时保留root用户的完全访问权限,避免后续排查问题时无法获取日志信息。