企业官网建设流程全解析

品牌宣传方式,临淄专业网站优化哪家好,新闻媒体发布平台,建大型购物网站一、前置准备#xff08;通用步骤#xff0c;所有服务器必做#xff09;# 1. 备份关键配置文件#xff08;防止配置错误无法回滚#xff09; # auditd备份 cp /etc/audit/auditd.conf /etc/audit/auditd.conf.bak$(date %Y%m%d) cp /etc/audit/rules.d/audit.rules /etc/a…一、前置准备通用步骤所有服务器必做# 1. 备份关键配置文件防止配置错误无法回滚 # auditd备份 cp /etc/audit/auditd.conf /etc/audit/auditd.conf.bak$(date %Y%m%d) cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bak$(date %Y%m%d) # rsyslog备份 cp /etc/rsyslog.conf /etc/rsyslog.conf.bak$(date %Y%m%d) cp -r /etc/rsyslog.d/ /etc/rsyslog.d.bak$(date %Y%m%d) # 2. 检查系统架构用于适配审计规则的arch参数 uname -m # x86_64/arm64记录结果备用 # 3. 新增预检查内核audit参数关键避免启动失败 cat /proc/cmdline | grep audit0 # 有输出则说明存在该问题需先解决二、Auditd 配置模板解决日志不删、容量预警、规则加载、内核参数启动失败问题新增解决 auditd 因内核参数audit0启动失败的核心步骤问题根源auditd.service 的启动条件ConditionKernelCommandLine!audit0要求内核参数中不能有audit0若内核参数包含audit0服务会被跳过启动这是auditd 启动失败的隐藏核心原因。步骤 1验证当前内核参数# 查看内核参数确认是否包含audit0 cat /proc/cmdline # 输出示例包含audit0即为问题点 # BOOT_IMAGE/vmlinuz-5.10.0-ky10.x86_64 root/dev/mapper/kylin-root ro rhgb quiet audit0步骤 2移除内核参数audit0推荐用 grubby 工具更安全# 安装grubby麒麟系统若未安装离线环境需提前准备包在线环境执行以下命令 yum install grubby -y # 移除所有内核的audit0参数 grubby --update-kernelALL --remove-argsaudit0 # 可选若需要强制开启audit可添加audit1参数二选一移除即可 # grubby --update-kernelALL --add-argsaudit1备选方案手动修改 GRUB 配置适合离线 / 无 grubby 场景# 编辑GRUB配置文件 vim /etc/default/grub # 找到GRUB_CMDLINE_LINUX行删除其中的audit0或改为audit1 # 原行示例GRUB_CMDLINE_LINUXcrashkernelauto rd.lvm.lvcl/root rhgb quiet audit0 # 修改后GRUB_CMDLINE_LINUXcrashkernelauto rd.lvm.lvcl/root rhgb quiet # 生成新的GRUB配置文件根据启动方式选择 # BIOS/传统启动legacy grub2-mkconfig -o /boot/grub2/grub.cfg # UEFI启动麒麟系统专用路径 grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg # 若上述UEFI路径不存在尝试 # grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg步骤 3重启系统使内核参数生效reboot # 内核参数修改后必须重启才能生效步骤 4验证内核参数已移除# 重启后再次查看确认无audit0 cat /proc/cmdline1. auditd.conf 配置模板规避兼容性报错核心说明移除了银河麒麟 V10 不兼容的disk_low_action、rules_file参数调整容量预警为整数对应 90% 使用率确保重启不报错。# 编辑auditd.conf vim /etc/audit/auditd.conf将文件内容替换为以下模板保留系统原有注释替换核心参数# This file controls the configuration of the audit daemon local_events yes write_logs yes log_file /var/log/audit/audit.log log_group root log_format ENRICHED flush INCREMENTAL_ASYNC freq 50 # 核心单日志文件大小MB建议100MB减少轮转频率 max_log_file 100 # 核心保留100个轮转日志避免自动删除0无限制推荐100 num_logs 100 priority_boost 4 name_format NONE # 核心日志达到阈值后仅轮转不删除 max_log_file_action ROTATE # 核心90%使用率预警需先计算分区10%空闲MB数示例10GB分区1024MB # 计算方法df -BM /var/log/audit/ | awk NR2{print $2} → 总容量×0.1space_left值 space_left 1024 # 低空间时发送系统日志预警无邮箱 space_left_action SYSLOG verify_email yes action_mail_acct root # 核心95%使用率紧急预警总容量×0.05值示例10GB分区512MB admin_space_left 512 # 紧急时暂停审计避免日志丢失 admin_space_left_action SUSPEND # 核心磁盘满时暂停审计不删除日志 disk_full_action SUSPEND # 核心磁盘错误时暂停审计 disk_error_action SUSPEND use_libwrap yes tcp_listen_queue 5 tcp_max_per_addr 1 tcp_client_max_idle 0 transport TCP krb5_principal auditd distribute_network no q_depth 400 overflow_action SYSLOG max_restarts 10 plugin_dir /etc/audit/plugins.d2. 审计规则配置模板x86_64/arm64 适配解决加载失败说明按架构指定arch参数通过软链接让 auditd 加载规则避免No rules问题。步骤 1编写审计规则文件# 编辑规则文件 vim /etc/audit/rules.d/audit.rules写入以下模板根据架构替换archb64x86_64/arm64 均用b6432 位 x86 用b32# 系统级审计规则银河麒麟V10通用 # 1. 用户登录/注销审计架构适配x86_64/arm64用b64 -a always,exit -F archb64 -S login -S logout -k login_logout # 2. 密码/用户组配置修改审计 -w /etc/passwd -p wa -k passwd_change -w /etc/shadow -p wa -k shadow_change -w /etc/group -p wa -k group_change -w /etc/gshadow -p wa -k gshadow_change # 3. sudo操作审计记录特权命令 -w /usr/bin/sudo -p wa -k sudo_operation # 4. 系统配置文件修改审计 -w /etc/sysctl.conf -p wa -k sysctl_config -w /etc/rsyslog.conf -p wa -k rsyslog_config -w /etc/firewalld/ -p wa -k firewall_config # 5. 网络配置修改审计 -w /etc/sysconfig/network-scripts/ -p wa -k network_config -w /etc/resolv.conf -p wa -k resolv_change # 6. 权限变更审计chmod/chown/chgrp -a always,exit -F archb64 -S chmod -S chown -S chgrp -k permission_change # 7. 文件删除审计rm/rmdir -a always,exit -F archb64 -S unlink -S rmdir -k file_delete # 8. 关键文件打开/创建审计 -a always,exit -F archb64 -S open -S openat -S creat -k file_open步骤 2软链接适配解决规则加载失败# 删除旧软链接若有 rm -f /etc/audit/audit.rules # 建立软链接让auditd默认路径找到规则文件 ln -s /etc/audit/rules.d/audit.rules /etc/audit/audit.rules # 设置权限仅root可读写 chown root:root /etc/audit/rules.d/audit.rules chmod 600 /etc/audit/rules.d/audit.rules3. auditd 启动与验证模板通用步骤# 1. 清除重启失败记录 systemctl reset-failed auditd # 2. 重启auditd systemctl restart auditd # 3. 设置开机自启 systemctl enable auditd # 4. 验证状态需显示active running systemctl status auditd # 5. 验证规则加载需显示规则列表而非No rules auditctl -l # 6. 验证参数生效 auditctl -s | grep -E max_log_file|num_logs|space_left三、rsyslog 双向远程日志配置模板实时传输双向同步1. rsyslog.conf 配置模板保留原有配置新增远程规则说明保留系统原有配置新增 TCP 接收模块和双向转发规则实现实时同步也可自己统一配置转发到日志存储服务器固定位置修改模板中的配置即可。步骤 1编辑 rsyslog.confvim /etc/rsyslog.conf1在「#### MODULES ####」部分新增 TCP 模块#### MODULES #### module(loadimuxsock SysSock.Useoff) module(loadimjournal StateFileimjournal.state) # 新增加载TCP接收模块用于接收远程日志 module(loadimtcp) input(typeimtcp port514) # 启用514/TCP端口 # 原有参数保留 $imjournalRatelimitInterval 0 include(file/etc/rsyslog.d/*.conf modeoptional)2在「#### RULES ####」末尾新增远程规则A 机192.168.1.131转发到 B 机192.168.1.132B 机192.168.1.132转发到 A 机192.168.1.131#### RULES #### # 原有本地日志规则保留如*.info /var/log/messages等 # 新增远程日志存储模板按来源IP分类 template(nameRemoteLogTemplate typestring string/var/log/remote/%FROMHOST-IP%/%PROGRAMNAME%.log) # 新增接收非本地日志并存储避免重复 if $fromhost-ip ! 127.0.0.1 then { action(typeomfile dynaFileRemoteLogTemplate) stop # 阻止远程日志重复写入本地 } # 新增双向转发规则A机替换为B机IPB机替换为A机IP *.* action(typeomfwd target192.168.1.132 # A机写132B机写131 port514 protocoltcp action.resumeRetryCount100 # 断网重试次数 queue.typelinkedList # 断网缓存队列 queue.size10000) # 缓存最大条数2. 后续配置与验证模板通用步骤# 1. 创建远程日志存储目录 mkdir -p /var/log/remote chown root:root /var/log/remote chmod 700 /var/log/remote # 2. 开放防火墙514/TCP端口 firewall-cmd --permanent --add-port514/tcp firewall-cmd --reload # 3. 重启rsyslog systemctl restart rsyslog systemctl enable rsyslog # 4. 验证状态 systemctl status rsyslog # 5. 验证端口监听需显示514/TCP LISTEN ss -tuln | grep 514 # 6. 验证实时传输A机执行B机查看 # A机logger 测试日志$(date) # B机tail -f /var/log/remote/192.168.1.131/logger.log四、常见问题排查模板快速定位解决1. Auditd 相关问题问题现象排查解决步骤auditd 启动失败exit-code1. 删除disk_low_action、rules_file等不兼容参数2. 检查/var/log/audit权限chown root:root /var/log/audit; chmod 700 /var/log/audit3. 执行/sbin/auditd -f查看具体报错4. 恢复备份配置重新修改核心参数。auditctl -l 显示 No rules1. 确认规则文件中加了archb642. 建立软链接ln -s /etc/audit/rules.d/audit.rules /etc/audit/audit.rules3. 执行auditctl -R /etc/audit/audit.rules强制加载4. 检查 SELinuxsetenforce 0 临时关闭。容量预警不生效1. 重新计算space_left值按分区总容量 ×0.12. 验证 auditctl -s grep space_left参数是否生效3. 模拟磁盘满dd if/dev/zero of/var/log/audit/test.img bs1G count5查看/var/log/messages是否有预警。auditd 启动失败服务被跳过ConditionKernelCommandLine!audit0 不满足1. 执行cat /proc/cmdline验证内核参数包含audit02. 用grubby --update-kernelALL --remove-argsaudit0移除参数或手动修改 GRUB 配置3. 重启系统使参数生效4. 重新启动 auditd。2. Rsyslog 相关问题问题现象排查解决步骤514 端口未监听1. 确认module(loadimtcp)和input(typeimtcp port514)已添加2. 重启 rsyslog3. 检查防火墙是否开放 514/TCP 端口。日志不传输1. 测试网络连通性telnet 对方 IP 5142. 查看 rsyslog 错误日志journalctl -u rsyslog grep error3. 确认转发规则中的 IP 和端口正确4. 检查/var/log/remote权限。日志重复写入1. 确认规则中加了stop参数2. 重启 rsyslog重新测试。五、日常维护模板日志管理与监控1. 日志清理避免磁盘占满# 保留90天的审计日志删除更早的 find /var/log/audit/ -name audit.log.* -mtime 90 -delete # 保留30天的远程日志删除更早的 find /var/log/remote/ -type f -mtime 30 -delete2. 磁盘监控每周检查一次示例每周日凌晨 0 点执行# 编辑crontab crontab -e # 添加以下内容0 0 * * 0 代表每周日0点执行可根据需求调整星期几0周日1周一…6周六 0 0 * * 0 df -h /var/log/audit/ | awk NR2{if($5090) print Audit磁盘使用率≥90%: $5 时间: $(date)} /var/log/audit_disk_warn.log 0 0 * * 0 df -h /var/log/remote/ | awk NR2{if($5090) print Remote日志磁盘使用率≥90%: $5 时间: $(date)} /var/log/remote_disk_warn.log3. 审计日志查询常用命令# 查询登录相关日志 ausearch -k login_logout # 查询sudo操作日志 ausearch -k sudo_operation # 按时间查询2025-12-01到2025-12-02 ausearch -ts 2025-12-01 -te 2025-12-02 # 实时查看审计日志 tail -f /var/log/audit/audit.log