一个月的日志包含哪些东西

一个月的日志包含哪些
一个月的Linux secure 日志(系统安全日志)通常涵盖以下核心内容,结合日志结构与实际场景可分为五大类:

一、用户认证与登录行为

  1. SSH远程登录

    • 成功登录:记录Accepted password(密码登录)、Accepted publickey(密钥登录),包含用户名、来源IP、端口、认证方式(如RSA密钥)。
    • 失败尝试:如截图中大量的Failed password for [用户名] from [IP] port [端口](密码验证失败),以及Invalid user [用户名](使用不存在的用户名尝试登录)、Connection reset by [IP](客户端主动断开)等暴力破解行为。
    • 会话管理:session opened for user [用户名](终端会话开启)、session closed for user [用户名](会话关闭)。
  2. 本地与特权操作

    • sudo命令使用:记录哪个用户通过sudo执行了什么操作(如COMMAND=/bin/systemctl restart docker)、是否通过权限校验。
    • su命令切换用户:记录用户切换的源账号、目标账号及认证结果。

二、系统安全策略与配置变更

  • 用户与权限变更:记录useradd/usermod/groupadd等命令对用户、组权限的修改,或密码策略(如密码复杂度、过期时间)的更新。
  • PAM模块活动:可插拔认证模块(PAM)的加载、认证策略执行细节(如密码错误次数超限后触发账户锁定)。

三、系统服务与进程启停

记录与安全相关的服务(如sshdfirewalldchronyd)的启动、停止或重启信息,例如:

Mar 26 03:21:28 hk-ssh sshd[22044]: ...  # sshd服务的连接处理日志

四、防火墙与网络安全规则

  • 防火墙(iptables/ufw)规则的添加、删除或修改。
  • 网络连接的拦截记录:如Reject/Drop动作对应的IP、端口及协议。

五、异常安全事件与攻击痕迹

  • 暴力破解集中爆发:如截图中来自多个IP对rootinva等用户的高频密码尝试,反映SSH服务被持续扫描攻击。
  • 可疑连接行为Did not receive identification string(客户端未发送合法标识)、Too many authentication failures(单次连接中认证失败次数超限)等异常。

实际价值与分析场景

一个月的secure日志可用于:

  • 追溯安全事件:定位“何时、何地、何人尝试攻击系统”(如某IP在一周内多次尝试登录)。
  • 审计合规性:检查sudo操作是否符合权限规范、是否存在未授权的用户权限变更。
  • 优化安全策略:根据暴力破解的源IP分布,配置fail2ban自动封禁;或调整SSH端口、禁用root直接登录等。

简言之,secure日志是系统的“安全黑匣子”,一个月的内容完整覆盖了用户访问、权限操作、攻击防御等全维度安全行为,是排查系统入侵、优化防护策略的核心依据。
要查看Linux系统中的日志(以常见的secure日志为例,也适用于其他日志文件),可根据日志大小、查看需求选择不同工具,以下是常用方法:

一、确定日志文件路径

系统默认的安全日志(secure)通常位于 /var/log/secure;若日志被解压到其他位置(如示例中的 /tmp 下的 secure-20230305 等归档文件),则需指定对应路径。

二、常用查看工具与场景

1. cat:快速查看小文件全部内容

适合日志文件较小、需一次性输出所有内容的场景。
示例:

cat /var/log/secure  # 查看系统默认secure日志
cat /tmp/secure-20230305  # 查看解压到/tmp的归档日志

2. less:分页浏览大文件(推荐!)

适合大日志文件,支持分页、搜索、前后翻页,不会因内容过多刷屏。
示例:

less /var/log/secure
  • 操作快捷键:
    • Enter:向下翻一行;
    • Space:向下翻一页;
    • b:向上翻一页;
    • /关键词:搜索日志中包含“关键词”的内容(如 /Failed password 搜索密码失败记录);
    • q:退出 less 查看。

3. tail:查看“末尾内容”或“实时跟踪”

  • 查看最后N行:适合快速看最新日志。
    示例:tail -n 100 /var/log/secure(查看最后100行)。

  • 实时跟踪新增日志:适合监控日志动态生成(如实时看SSH登录尝试)。
    示例:tail -f /var/log/secure(实时输出新增内容,按 Ctrl+C 停止跟踪)。

4. grep:过滤日志中的“特定内容”

适合从大量日志中筛选关键信息(如“失败登录”“特定用户”),支持正则表达式。
示例:

  • 搜索所有“密码验证失败”的记录:
    grep "Failed password" /var/log/secure
    
  • 搜索多个归档日志(如 /tmp 下所有3月的secure日志):
    grep "Failed password" /tmp/secure-202303*
    
  • 结合正则,搜索包含“root”或“admin”的行:
    grep -E "root|admin" /var/log/secure
    

三、拓展:多工具组合使用

可通过管道(|将多个命令组合,实现更灵活的日志分析。
示例:查看 secure 日志中“来自192.168.1.1的登录尝试”,并分页浏览:

grep "192.168.1.1" /var/log/secure | less

根据实际需求选择工具(大文件优先用less,实时监控用tail -f,精准筛选用grep),即可高效查看和分析日志。

要分析 /root/secure.zip 中的日志,需结合解压验证、内容查看、安全事件提取三个步骤,以下是详细过程:

一、确认压缩包解压后的日志文件

通过之前的操作,/root/secure.zip 已被解压到 /tmp 目录,生成的日志文件为:
secure-20230305secure-20230312secure-20230319secure-20230326
这些文件是Linux系统安全日志(secure 日志),对应 2023年3月 不同日期的安全事件记录。

二、查看日志核心内容(以安全风险分析为核心)

使用 grepless 等工具,重点提取SSH登录、用户认证、攻击行为等关键事件:

1. 搜索“SSH密码认证失败”(暴力破解核心特征)

执行命令:

grep "Failed password" /tmp/secure-202303*

结果分析
日志中存在大量类似如下的记录:

/tmp/secure-20230326:Mar 26 03:21:28 hk-ssh sshd[22044]: Failed password for invalid user inva from 177.91.80.11 port 59576 ssh2
/tmp/secure-20230326:Mar 26 03:22:40 hk-ssh sshd[22052]: Failed password for root from 217.237.115.144 port 68979 ssh2
  • 攻击特征
    • 来源IP多样:涉及 177.91.80.11217.237.115.14447.250.40.102 等多个外部IP。
    • 目标用户广泛:不仅尝试 root(高权限用户),还枚举 invasambaspider 等普通/可疑用户。
    • 时间持续性:攻击在凌晨(如 03:21:28)等非工作时段仍持续,属于典型的SSH暴力破解行为

2. 搜索“SSH成功登录”(验证合法访问)

执行命令:

grep "Accepted password" /tmp/secure-202303*  # 密码登录成功
grep "Accepted publickey" /tmp/secure-202303*  # 密钥登录成功

(若输出为空或极少,说明合法SSH登录频次低,进一步佐证“暴力破解占比高”。)

3. 搜索“特权操作(sudo)”(审计高权限行为)

执行命令:

grep "sudo" /tmp/secure-202303*

(若存在记录,需关注“哪个用户执行了什么高权限操作”,判断是否有未授权特权使用。)

三、安全风险总结与建议

核心风险:

服务器暴露在公网环境中,遭受持续性SSH暴力破解攻击,攻击者通过枚举用户名+密码的方式尝试非法登录,存在“被入侵后提权、植入后门”的风险。

防护建议:

  1. 强化SSH安全配置

    • 修改默认端口:编辑 /etc/ssh/sshd_config,将 Port 22 改为非标准端口(如 Port 2222)。
    • 禁用root直接登录:在 sshd_config 中设置 PermitRootLogin no
    • 关闭密码认证,启用密钥认证:设置 PasswordAuthentication no,改用SSH密钥对登录(更安全)。
  2. 自动化拦截攻击IP
    部署 fail2ban 工具,配置对 sshd 的监控规则,自动封禁“短时间内多次失败登录”的IP。

  3. 持续日志审计
    定期用 grep+less 分析 secure 日志,及时发现新的攻击源或异常登录行为。

通过以上分析,可明确 /root/secure.zip 中的日志反映了SSH暴力破解风险,需针对性强化服务器远程访问安全。

posted on 2025-08-18 16:45  爱尔奎特‘殷’  阅读(146)  评论(0)    收藏  举报