CentOS系统日志访问权限配置指南

在CentOS系统中，限制用户对系统日志的访问权限是系统安全的重要部分。以下是详细的配置方法：

1. 了解系统日志位置

CentOS系统日志主要存放在以下目录： - /var/log/messages - 常规系统消息 - /var/log/secure - 安全相关消息 - /var/log/audit/audit.log - 审计日志 - /var/log/boot.log - 启动日志 - /var/log/cron - cron任务日志 - /var/log/maillog - 邮件系统日志

2. 设置日志文件权限

基本权限设置

# 设置日志目录权限
sudo chmod 750 /var/log

# 设置主要日志文件权限
sudo chmod 640 /var/log/messages
sudo chmod 640 /var/log/secure
sudo chmod 600 /var/log/audit/audit.log

递归设置权限

# 设置/var/log下所有文件的权限
sudo find /var/log -type f -exec chmod 640 {} \;
sudo find /var/log -type d -exec chmod 750 {} \;

3. 设置日志文件所有权

# 设置日志目录和文件的所有者为root
sudo chown -R root:root /var/log

4. 创建专用日志组

# 创建日志管理组
sudo groupadd logviewers

# 将需要访问日志的用户加入组
sudo usermod -aG logviewers username

# 设置日志组权限
sudo chgrp -R logviewers /var/log
sudo find /var/log -type f -exec chmod 640 {} \;
sudo find /var/log -type d -exec chmod 750 {} \;

5. 配置SELinux策略（如启用）

# 检查SELinux状态
sudo sestatus

# 如果启用，设置正确的上下文
sudo chcon -R -t var_log_t /var/log

6. 配置rsyslog权限

编辑rsyslog配置文件：

sudo vi /etc/rsyslog.conf

添加或修改以下行：

$FileCreateMode 0640
$DirCreateMode 0750
$Umask 0027

重启rsyslog服务：

sudo systemctl restart rsyslog

7. 配置audit日志权限

编辑audit规则：

sudo vi /etc/audit/auditd.conf

确保有以下设置：

log_group = logviewers
log_file_mode = 0640

重启audit服务：

sudo service auditd restart

8. 验证配置

# 检查权限
ls -ld /var/log
ls -l /var/log/messages
ls -l /var/log/secure

# 测试用户访问
sudo -u username cat /var/log/messages

9. 可选：配置sudo访问

如果需要允许特定用户临时查看日志：

sudo visudo

添加以下行：

username ALL=(root) NOPASSWD: /bin/cat /var/log/*

这样用户可以通过sudo cat /var/log/filename查看日志，而无需直接访问权限。

注意事项

1. 修改权限前备份重要日志
2. 确保系统管理员账户有足够权限
3. 定期检查日志权限是否保持正确
4. 新安装的软件可能会创建自己的日志文件，需要手动设置权限

通过以上步骤，您可以有效地限制普通用户对系统日志的访问权限，同时允许授权用户或组访问必要的日志信息。