长亭百川云 - 文章详情

Linux日志-secure日志

运维小路

62

2024-08-08

作者介绍:简历上没有一个精通的运维工程师。请点击上方的蓝色《运维小路》关注我,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

Linux进阶部分又分了很多小的部分,我们刚讲完了Linux基础软件,下面是Linux日志。Linux 系统中的日志是记录系统活动和事件的重要工具,它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志,登录日志,定时任务日志,监控日志,崩溃日志,二进制日志等内容,这些日志都存储在/var/log目录下,有的日志文本格式,可以直接使用前面学到的tail cat 等命令分析,有的日志是二进制格式需要专门的命令才能解释,比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。

1.Linux日志-message日志

2.Linux日志-secure日志(本章节)****

3.Linux日志-btmp日志

4.Linux日志-wtmp日志

5.Linux日志-lastlog日志

6.Linux日志-cron日志

7.Linux日志-sa日志

8.Linux日志-journal日志

9.Linux日志-dmesg日志

10.Linux日志-kdump日志

11.Linux日志-日志小结

上一小节,我们讲Linux最重要的日志message,下面我们接着讲Linux的其他日志内容。

在Linux系统中,secure 日志是系统日志的一部分,主要用于记录与系统安全相关的活动和事件。一般情况下,我们没有安全相关的需求是不会分析这个日志的,这个日志主要记录一下几个方面的内容。

  1. 用户登录和认证
  • 记录用户登录系统的事件,包括成功和失败的登录尝试。

  • 记录用户使用的认证方法,如密码、SSH密钥等。

  1. sudo 使用记录
  • 记录使用 sudo 命令进行特权操作的用户和时间。

  • 记录特权操作的成功和失败情况。

  1. 安全策略变更
  • 记录安全策略的修改,如用户权限的变更、密码策略的更新等。
  1. 系统服务启动和停止
  • 记录系统服务的启动、停止或重启的信息,这些操作可能会涉及到特权操作或安全相关的服务。
  1. 防火墙和安全组规则
  • 记录防火墙(如iptables)或安全组(如ufw)规则的变更或拒绝的尝试。
  1. 系统安全事件
  • 记录系统可能遭受到的攻击或异常行为,如登录失败的暴力攻击尝试、拒绝服务攻击的迹象等。

日志基本信息

  • 日志路径:/var/log/secure

  • 日志格式: 文本格式

  • 查看方法:普通查看文件方法:tail  cat vi 等命令

`#登录成功的日志``Jul  2 21:16:50 localhost sshd[2084]: Accepted publickey for root from 221.237.228.159 port 63426 ssh2: RSA SHA256:n3ZgC//dzeUFInsQEhZ3uhzfIVNtBrdvkXQNFnhavUk``Jul  2 21:16:50 localhost  sshd[2084]: pam_unix(sshd:session): session opened for user root by (uid=0)port 19359`
`#sudo的日志``Jul  2 16:12:07 localhost sudo:    root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=/bin/systemctl restart docker``Jul  2 16:12:07 localhost sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)`
`#暴力破解的日志,服务器的对外开放的ssh端口,尤其是暴露的22端口,这些会非常多``Jul  2 00:05:12 localhost sshd[586]: Connection reset by 198.235.24.145 port 58878 [preauth]``Jul  2 00:24:30 localhost sshd[1616]: Did not receive identification string from 103.150.10.59 port 52444``Jul  2 01:11:56 localhost sshd[4058]: Invalid user  from 64.62.156.15 port 27599``Jul  2 01:11:56 localhost sshd[4058]: input_userauth_request: invalid user  [preauth]``Jul  2 01:12:00 localhost sshd[4058]: Connection closed by 64.62.156.15 port 27599 [preauth]``Jul  2 01:33:31 localhost sshd[5152]: Did not receive identification string from 47.98.101.50 port 49214``Jul  2 01:54:21 localhost sshd[6193]: Connection closed by 199.45.154.121 port 54916 [preauth]``Jul  2 02:35:42 localhost sshd[8316]: Invalid user  from 64.62.197.61 port 19359`

总结

1.该日志主要主要是和安全登录相关,只要暴露了攻击面,就会被暴力破解。

2.当然只要没有人恶意连续大量的连接,一般情况下倒是可以忽略不计的。

3.当然从安全的角度来说,我们需要减少暴露面,强密码来保证服务器的安全。

历史推荐内容**Linux基础-包括文件的增删改查,磁盘管理,网络配置,用户配置,权限配置**

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2