一个月的日志包含哪些东西
一个月的日志包含哪些
一个月的Linux secure 日志(系统安全日志)通常涵盖以下核心内容,结合日志结构与实际场景可分为五大类:
一、用户认证与登录行为
-
SSH远程登录
- 成功登录:记录
Accepted password(密码登录)、Accepted publickey(密钥登录),包含用户名、来源IP、端口、认证方式(如RSA密钥)。 - 失败尝试:如截图中大量的
Failed password for [用户名] from [IP] port [端口](密码验证失败),以及Invalid user [用户名](使用不存在的用户名尝试登录)、Connection reset by [IP](客户端主动断开)等暴力破解行为。 - 会话管理:
session opened for user [用户名](终端会话开启)、session closed for user [用户名](会话关闭)。
- 成功登录:记录
-
本地与特权操作
sudo命令使用:记录哪个用户通过sudo执行了什么操作(如COMMAND=/bin/systemctl restart docker)、是否通过权限校验。su命令切换用户:记录用户切换的源账号、目标账号及认证结果。
二、系统安全策略与配置变更
- 用户与权限变更:记录
useradd/usermod/groupadd等命令对用户、组权限的修改,或密码策略(如密码复杂度、过期时间)的更新。 - PAM模块活动:可插拔认证模块(PAM)的加载、认证策略执行细节(如密码错误次数超限后触发账户锁定)。
三、系统服务与进程启停
记录与安全相关的服务(如sshd、firewalld、chronyd)的启动、停止或重启信息,例如:
Mar 26 03:21:28 hk-ssh sshd[22044]: ... # sshd服务的连接处理日志
四、防火墙与网络安全规则
- 防火墙(
iptables/ufw)规则的添加、删除或修改。 - 网络连接的拦截记录:如
Reject/Drop动作对应的IP、端口及协议。
五、异常安全事件与攻击痕迹
- 暴力破解集中爆发:如截图中来自多个IP对
root、inva等用户的高频密码尝试,反映SSH服务被持续扫描攻击。 - 可疑连接行为:
Did not receive identification string(客户端未发送合法标识)、Too many authentication failures(单次连接中认证失败次数超限)等异常。
实际价值与分析场景
一个月的secure日志可用于:
- 追溯安全事件:定位“何时、何地、何人尝试攻击系统”(如某IP在一周内多次尝试登录)。
- 审计合规性:检查
sudo操作是否符合权限规范、是否存在未授权的用户权限变更。 - 优化安全策略:根据暴力破解的源IP分布,配置
fail2ban自动封禁;或调整SSH端口、禁用root直接登录等。
简言之,secure日志是系统的“安全黑匣子”,一个月的内容完整覆盖了用户访问、权限操作、攻击防御等全维度安全行为,是排查系统入侵、优化防护策略的核心依据。
要查看Linux系统中的日志(以常见的secure日志为例,也适用于其他日志文件),可根据日志大小、查看需求选择不同工具,以下是常用方法:
一、确定日志文件路径
系统默认的安全日志(secure)通常位于 /var/log/secure;若日志被解压到其他位置(如示例中的 /tmp 下的 secure-20230305 等归档文件),则需指定对应路径。
二、常用查看工具与场景
1. cat:快速查看小文件全部内容
适合日志文件较小、需一次性输出所有内容的场景。
示例:
cat /var/log/secure # 查看系统默认secure日志
cat /tmp/secure-20230305 # 查看解压到/tmp的归档日志
2. less:分页浏览大文件(推荐!)
适合大日志文件,支持分页、搜索、前后翻页,不会因内容过多刷屏。
示例:
less /var/log/secure
- 操作快捷键:
- 按
Enter:向下翻一行; - 按
Space:向下翻一页; - 按
b:向上翻一页; - 按
/关键词:搜索日志中包含“关键词”的内容(如/Failed password搜索密码失败记录); - 按
q:退出less查看。
- 按
3. tail:查看“末尾内容”或“实时跟踪”
-
查看最后N行:适合快速看最新日志。
示例:tail -n 100 /var/log/secure(查看最后100行)。 -
实时跟踪新增日志:适合监控日志动态生成(如实时看SSH登录尝试)。
示例:tail -f /var/log/secure(实时输出新增内容,按Ctrl+C停止跟踪)。
4. grep:过滤日志中的“特定内容”
适合从大量日志中筛选关键信息(如“失败登录”“特定用户”),支持正则表达式。
示例:
- 搜索所有“密码验证失败”的记录:
grep "Failed password" /var/log/secure - 搜索多个归档日志(如
/tmp下所有3月的secure日志):grep "Failed password" /tmp/secure-202303* - 结合正则,搜索包含“root”或“admin”的行:
grep -E "root|admin" /var/log/secure
三、拓展:多工具组合使用
可通过管道(|)将多个命令组合,实现更灵活的日志分析。
示例:查看 secure 日志中“来自192.168.1.1的登录尝试”,并分页浏览:
grep "192.168.1.1" /var/log/secure | less
根据实际需求选择工具(大文件优先用less,实时监控用tail -f,精准筛选用grep),即可高效查看和分析日志。
要分析 /root/secure.zip 中的日志,需结合解压验证、内容查看、安全事件提取三个步骤,以下是详细过程:
一、确认压缩包解压后的日志文件
通过之前的操作,/root/secure.zip 已被解压到 /tmp 目录,生成的日志文件为:
secure-20230305、secure-20230312、secure-20230319、secure-20230326。
这些文件是Linux系统安全日志(secure 日志),对应 2023年3月 不同日期的安全事件记录。
二、查看日志核心内容(以安全风险分析为核心)
使用 grep、less 等工具,重点提取SSH登录、用户认证、攻击行为等关键事件:
1. 搜索“SSH密码认证失败”(暴力破解核心特征)
执行命令:
grep "Failed password" /tmp/secure-202303*
结果分析:
日志中存在大量类似如下的记录:
/tmp/secure-20230326:Mar 26 03:21:28 hk-ssh sshd[22044]: Failed password for invalid user inva from 177.91.80.11 port 59576 ssh2
/tmp/secure-20230326:Mar 26 03:22:40 hk-ssh sshd[22052]: Failed password for root from 217.237.115.144 port 68979 ssh2
- 攻击特征:
- 来源IP多样:涉及
177.91.80.11、217.237.115.144、47.250.40.102等多个外部IP。 - 目标用户广泛:不仅尝试
root(高权限用户),还枚举inva、samba、spider等普通/可疑用户。 - 时间持续性:攻击在凌晨(如
03:21:28)等非工作时段仍持续,属于典型的SSH暴力破解行为。
- 来源IP多样:涉及
2. 搜索“SSH成功登录”(验证合法访问)
执行命令:
grep "Accepted password" /tmp/secure-202303* # 密码登录成功
grep "Accepted publickey" /tmp/secure-202303* # 密钥登录成功
(若输出为空或极少,说明合法SSH登录频次低,进一步佐证“暴力破解占比高”。)
3. 搜索“特权操作(sudo)”(审计高权限行为)
执行命令:
grep "sudo" /tmp/secure-202303*
(若存在记录,需关注“哪个用户执行了什么高权限操作”,判断是否有未授权特权使用。)
三、安全风险总结与建议
核心风险:
服务器暴露在公网环境中,遭受持续性SSH暴力破解攻击,攻击者通过枚举用户名+密码的方式尝试非法登录,存在“被入侵后提权、植入后门”的风险。
防护建议:
-
强化SSH安全配置:
- 修改默认端口:编辑
/etc/ssh/sshd_config,将Port 22改为非标准端口(如Port 2222)。 - 禁用root直接登录:在
sshd_config中设置PermitRootLogin no。 - 关闭密码认证,启用密钥认证:设置
PasswordAuthentication no,改用SSH密钥对登录(更安全)。
- 修改默认端口:编辑
-
自动化拦截攻击IP:
部署fail2ban工具,配置对sshd的监控规则,自动封禁“短时间内多次失败登录”的IP。 -
持续日志审计:
定期用grep+less分析secure日志,及时发现新的攻击源或异常登录行为。
通过以上分析,可明确 /root/secure.zip 中的日志反映了SSH暴力破解风险,需针对性强化服务器远程访问安全。
浙公网安备 33010602011771号