作者介绍:简历上没有一个精通的运维工程师。请点击上方的蓝色《运维小路》关注我,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。
Linux进阶部分又分了很多小的部分,我们刚讲完了Linux基础软件,下面是Linux日志。Linux 系统中的日志是记录系统活动和事件的重要工具,它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志,登录日志,定时任务日志,监控日志,崩溃日志,二进制日志等内容,这些日志都存储在/var/log目录下,有的日志文本格式,可以直接使用前面学到的tail cat 等命令分析,有的日志是二进制格式需要专门的命令才能解释,比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。
1.Linux日志-message日志
2.Linux日志-secure日志(本章节)****
3.Linux日志-btmp日志
4.Linux日志-wtmp日志
5.Linux日志-lastlog日志
6.Linux日志-cron日志
7.Linux日志-sa日志
8.Linux日志-journal日志
9.Linux日志-dmesg日志
10.Linux日志-kdump日志
11.Linux日志-日志小结
上一小节,我们讲Linux最重要的日志message,下面我们接着讲Linux的其他日志内容。
在Linux系统中,secure
日志是系统日志的一部分,主要用于记录与系统安全相关的活动和事件。一般情况下,我们没有安全相关的需求是不会分析这个日志的,这个日志主要记录一下几个方面的内容。
记录用户登录系统的事件,包括成功和失败的登录尝试。
记录用户使用的认证方法,如密码、SSH密钥等。
记录使用 sudo
命令进行特权操作的用户和时间。
记录特权操作的成功和失败情况。
记录系统可能遭受到的攻击或异常行为,如登录失败的暴力攻击尝试、拒绝服务攻击的迹象等。
日志基本信息
日志路径:/var/log/secure
日志格式: 文本格式
查看方法:普通查看文件方法:tail cat vi 等命令
`#登录成功的日志``Jul 2 21:16:50 localhost sshd[2084]: Accepted publickey for root from 221.237.228.159 port 63426 ssh2: RSA SHA256:n3ZgC//dzeUFInsQEhZ3uhzfIVNtBrdvkXQNFnhavUk``Jul 2 21:16:50 localhost sshd[2084]: pam_unix(sshd:session): session opened for user root by (uid=0)port 19359`
`#sudo的日志``Jul 2 16:12:07 localhost sudo: root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=/bin/systemctl restart docker``Jul 2 16:12:07 localhost sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)`
`#暴力破解的日志,服务器的对外开放的ssh端口,尤其是暴露的22端口,这些会非常多``Jul 2 00:05:12 localhost sshd[586]: Connection reset by 198.235.24.145 port 58878 [preauth]``Jul 2 00:24:30 localhost sshd[1616]: Did not receive identification string from 103.150.10.59 port 52444``Jul 2 01:11:56 localhost sshd[4058]: Invalid user from 64.62.156.15 port 27599``Jul 2 01:11:56 localhost sshd[4058]: input_userauth_request: invalid user [preauth]``Jul 2 01:12:00 localhost sshd[4058]: Connection closed by 64.62.156.15 port 27599 [preauth]``Jul 2 01:33:31 localhost sshd[5152]: Did not receive identification string from 47.98.101.50 port 49214``Jul 2 01:54:21 localhost sshd[6193]: Connection closed by 199.45.154.121 port 54916 [preauth]``Jul 2 02:35:42 localhost sshd[8316]: Invalid user from 64.62.197.61 port 19359`
总结
1.该日志主要主要是和安全登录相关,只要暴露了攻击面,就会被暴力破解。
2.当然只要没有人恶意连续大量的连接,一般情况下倒是可以忽略不计的。
3.当然从安全的角度来说,我们需要减少暴露面,强密码来保证服务器的安全。
历史推荐内容**Linux基础-包括文件的增删改查,磁盘管理,网络配置,用户配置,权限配置**