Linux日志管理与网络配置指南

### Linux日志管理与网络配置指南 #### 1. 日志管理 在日志管理方面，我们主要探讨 `journald` 日志系统，它与传统的 `rsyslog` 有所不同。`rsyslog` 以纯文本格式存储日志文件，而 `journald` 则采用二进制格式，这使得 `journald` 日志文件更难被篡改。 ##### 1.1 `journald` 日志文件密封 为了进一步增强 `journald` 日志文件的安全性，我们可以对其进行密封操作，具体步骤如下： 1. **创建FSS密钥**：使用以下命令创建一组前向安全密封（FSS）密钥： ```bash donnie@ubuntu2004:~$ sudo journalctl --setup-keys ``` 此命令会创建两个密钥，其中密封密钥名为 `fss`，存储在与 `journald` 日志文件相同的目录中。例如： ```bash donnie@ubuntu2004:~$ cd /var/log/journal/55520bc0900c428ab8a27f5c7d8c3927/ donnie@ubuntu2004:/var/log/journal/55520bc0900c428ab8a27f5c7d8c3927$ ls -l fss -rw-------+ 1 root systemd-journal 482 Aug 10 16:50 fss ``` 验证密钥会以文本字符串的形式显示在屏幕上，建议将其复制并粘贴到一个文本文件中，存储在安全的位置。 2. **定期验证日志文件**：将验证密钥复制并粘贴到以下命令中，定期运行验证操作，以确保日志文件未被篡改： ```bash donnie@ubuntu2004:~$ sudo journalctl --verify --verify-key=43e654-62c3e2-519f3b-7d2850/1b9cb3-35a4e900 ``` ##### 1.2 远程日志设置 虽然 `journald` 远程日志功能仍处于概念验证阶段，不太适合生产环境使用，但如果您想尝试设置集中式 `journald` 日志服务器，可以参考相关链接中的操作步骤。需要注意的是，您需要在 `journald` 日志服务器和所有客户端上安装安全证书。如果您只是想为内部局域网设置集中式 `journald` 日志记录，可以修改操作步骤，使用从本地证书颁发机构服务器创建的证书。 #### 2. 网络配置 在网络配置方面，我们将介绍 `systemd` 生态系统中的网络组件 `networkd` 和 `resolved`，以及Ubuntu系统中的Netplan工具。 ##### 2.1 `networkd` 和 `resolved` 简介 传统的 `NetworkManager` 适用于大多数Linux桌面和笔记本电脑，它由Red Hat开发，旨在使Linux笔记本电脑能够在有线和无线网络之间快速切换。然而，`networkd` 和 `resolved` 可以实现一些 `NetworkManager` 难以完成的任务，例如使用 `networkd` 可以设置用于运行容器的桥接网络，使用 `resolved` 可以设置拆分DNS解析、从DHCP服务器或IPv6路由器通告获取DNS服务器地址，并使用DNSSEC、MulticastDNS和DNS-over-TLS。 ##### 2.2 Ubuntu系统中的Netplan Netplan是Ubuntu的新网络配置工具，在桌面机上，它主要指示系统使用 `NetworkManager`；在服务器上，您可以在 `/etc/netplan/` 目录下的 `.yaml` 文件中创建 `networkd` 配置，Netplan会将该 `.yaml` 文件的内容转换为 `networkd` 格式。 以下是不同场景下Netplan配置的示例： - **桌面机默认配置**：在 `/etc/netplan/` 目录下，默认配置文件 `01-network-manager