解析SSH登录日志的奥秘:深入了解日志的形成过程

最新推荐文章于 2024-07-03 17:46:38 发布
最新推荐文章于 2024-07-03 17:46:38 发布
阅读量2.6k 收藏 25
点赞数 29
分类专栏: 运维 文章标签: ssh 运维 网络 bash linux 服务器 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Long_xu/article/details/135141215
版权
本文详细介绍了SSH登录日志的形成过程,包括其基本原理、内容解读、常见类型、位置和格式。重点讲解了登录成功与失败的记录标志,以及关键事件的含义,强调了日志监控在系统安全和故障排查中的重要性。
摘要由CSDN通过智能技术生成

解析SSH登录日志的奥秘:深入了解日志的形成过程

一、SSH登录日志概述

SSH登录日志是维护系统安全、进行故障排除、进行安全审计和监控的重要依据。通过对日志的分析和解读,管理员可以及时发现潜在的安全威胁,防范潜在的入侵,同时也能优化系统性能,保障系统的正常运行。

常见的SSH登录日志类型:

1. sshd 日志: sshd 是 SSH 服务器守护进程的名称,在大多数 Linux/Unix 系统上用于处理 SSH 连接和身份验证。sshd 日志记录了与 SSH 服务器的交互活动、登录尝试、认证成功或失败以及其他事件。

2. secure 日志: secure 日志是一种常见的日志文件,用于记录系统安全相关的事件和活动。SSH登录日志通常存储在 secure 日志文件中,包括来自 sshd 的登录尝试和身份验证信息。

3. auth.log 日志: auth.log 是 Ubuntu/Linux 系统上的系统身份验证日志文件,其中包含有关用户登录、认证成功或失败等信息,也会包括来自 SSH 登录的事件。

4. wtmp 日志: wtmp 日志文件用于记录用户登录和注销的信息。在 SSH 登录的情况下,wtmp 中会记录登录事件、连接时间、用户名和 IP 地址等信息。

5. lastlog 日志: lastlog 日志文件保存用户上次登录时间和登录位置等信息。对于 SSH 登录,lastlog 可以提供与用户上次登录相关的详细信息。

6. var/log/secure.log 日志: Mac OS 系统上的 secure.log 文件记录了与身份验证和授权相关的各种事件,包括 SSH 登录过程中的事件和错误。

7. authpriv.log 日志: authpriv.log 是一种特权级别的日志文件,用于存储包含敏感信息的安全事件。在某些系统中,SSH 登录的敏感事件会记录在 authpriv.log 文件中。

二、SSH登录日志的基本原理

SSH登录过程:

  1. 客户端发起连接请求:用户在本地计算机上的SSH客户端(如OpenSSH)输入要连接的远程服务器的IP地址或主机名。

  2. 远程服务器上运行的SSH服务器守护进程(通常是sshd)会监听传入的连接请求,并等待客户端的连接。

  3. 如果连接建立,客户端和服务器之间将进行密钥交换。这个过程的目的是确保通信的机密性和完整性。客户端和服务器使用非对称加密算法(如RSA或Diffie-Hellman)生成加密密钥对,并交换公钥。

  4. 用户身份认证:客户端向服务器发送用户的身份认证信息,通常是通过密码或公钥进行身份验证。服务器将验证提供的凭证,并决定是否允许登录。

  5. 如果成功通过认证,服务器将向客户端发送确认消息,并允许客户端与服务器建立安全的Shell会话。在该会话中,用户可以在远程服务器上执行命令和操作。

  6. 完成操作后可以通过关闭或退出Shell会话来终止SSH连接。客户端和服务器将关闭连接,并结束与远程服务器的通信。

在这里插入图片描述
日志记录的基本原理和机制是记录和存储系统、应用或网络中发生的事件和活动。

  1. 事件记录:系统和应用在运过程中会生成各种事件,如错误、警告、操作记录等。这些事件将被记录并保存在日志中,生成的SSH登录日志通常会被写入系统日志文件中,例如/var/log/auth.log(Linux系统)或/var/log/secure(某些UNIX系统)。

  2. 日志级别:日志级别用于表示事件的严重程度,常见的级别包括错误(error)、警告(warning)、信息(info)等。

  3. 日志格式包括时间戳、事件级别、事件描述、IP地址、用户信息等。

  4. 为防止日志文件过大,造成存储空间浪费,通常会对日志进行轮转。轮转可以按照时间、大小或其他条件进行,将旧日志文件进行备份、压缩或删除。

"authentication failure"和"Failed password"是不同服务产生的日志。"authentication failure"通常是由操作系统或网络设备产生的日志,记录了身份验证失败的信息。"Failed password"是由具体的服务(如SSH)产生的日志,记录了登录时密码验证失败的信息。

如果日志没有IP的情况,可能是因为服务日志没有记录完整的连接信息。是由于配置错误、日志级别设置不完全、部分信息被过滤等原因导致的。在这种情况下,可能需要详细检查日志配置和相关设置。

三、SSH登录日志的内容解读

在这里插入图片描述

3.1、登录成功的记录

  1. 时间戳:登录事件发生的日期和时间。

  2. 用户名:成功登录的用户账号名称。

  3. 用户IP地址:登录请求来自的IP地址。

  4. 登录方式:标识登录使用的身份验证方法,如密码、公钥、证书等。

  5. 登录结果:指示登录是否成功的标志,通常为"Accepted"或"Successful".

示例:

Dec 21 23:25:34 server sshd[1234]: Accepted password for fly123 from 192.168.0.100 port 5031 ssh2

该示例记录解读如下:

  • 时间戳:Dec 21 23:25:34
  • 用户名:fly123
  • 用户IP地址:192.168.0.100
  • 登录方式:password
  • 登录结果:Accepted

3.2、登录失败的记录

  1. 时间戳:登录事件发生的日期和时间。

  2. 用户名:尝试登录的用户账号名称。

  3. 用户IP地址:登录请求来自的IP地址。

  4. 登录方式:标识登录使用的身份验证方法,如密码、公钥、证书等。

  5. 登录结果:指示登录是否失败的标志,通常为"Failed"或"Invalid user"等。

示例:

Dec 21 13:35:34 server sshd[7632]: Failed password for invalid user fly1235 from 192.168.0.100 port 5032 ssh2

该示例记录解读如下:

  • 时间戳:Dec 21 23:35:34
  • 用户名:fly1235
  • 用户IP地址:192.168.0.100
  • 登录方式:password
  • 登录结果:Failed

3.3、关键事件的标志和含义

SSH登录日志中的关键事件标志和含义可以有多种,常见的关键事件标志和它们的含义:

  1. “Accepted”:表示登录请求成功通过身份验证,允许用户登录到系统。

  2. “Failed”:表示登录请求的身份验证失败。可能是由于密码错误、密钥不匹配或其他认证错误。

  3. “Invalid user”:表示无效的用户账号尝试进行登录,通常是由于用户名不存在。

  4. “Disconnected”:表示连接断开,可能是用户主动断开或网络连接的异常。

  5. “Too many authentication failures”:表示尝试使用多种身份验证方法失败过多,系统拒绝进一步尝试。

  6. “Connection refused”:表示SSH服务器拒绝连接请求,可能是由于防火墙规则、配置错误或系统资源限制。

  7. “Authenticating”:表示身份验证过程正在进行中,可能需要额外的身份验证信息。

  8. “Accepted publickey”:表示成功使用公钥进行身份验证。

  9. “Accepted password”:表示成功使用密码进行身份验证。

  10. “Accepted keyboard-interactive”:表示成功使用键盘交互方式进行身份验证,通常需要输入额外的信息。

四、SSH登录日志的位置和格式

SSH登录日志的位置和格式可能因操作系统而异。主流操作系统的SSH登录日志文件存储位置和格式:

(1)Linux系统:

  • OpenSSH服务器:/var/log/auth.log 或 /var/log/secure。
  • SSHD日志文件格式:通常为纯文本格式。

(2)macOS:

  • OpenSSH服务器:/private/var/log/system.log 或 /private/var/log/secure.log。
  • SSHD日志文件格式:通常为ASL(Apple System Log)格式。

(3)Windows系统(通过第三方软件):

  • Bitvise SSH Server:日志文件可在安装目录的"Logs"文件夹中找到。
  • OpenSSH for Windows:日志文件路径可能因安装方式和配置而异。

(4)FreeBSD:

  • OpenSSH服务器:/var/log/auth.log。
  • SSHD日志文件格式:通常为纯文本格式。

(5)Solaris:

  • OpenSSH服务器:/var/adm/messages 或 /var/log/auth.log。
  • SSHD日志文件格式:通常为纯文本格式。

要查看和解析日志文件,可以:

  1. 使用文本编辑器(如vi、nano、Sublime Text等)直接打开日志文件,逐行查看和解析其中的内容。这种方法适用于日志文件较小且需要查找特定信息的情况。

  2. 命令行工具(如grep、awk、sed等)可以帮助筛选、搜索和解析日志文件中的特定信息。例如,可以使用grep命令搜索特定关键字,如"ERROR"或"Failed",以定位错误或失败的登录尝试。例如:grep "ERROR" /var/log/auth.log

  3. 使用专门的日志解析工具,例如,Logstash、Splunk、ELK(Elasticsearch, Logstash, Kibana)等工具提供了强大的日志管理和解析功能。

五、总结

SSH登录日志对于系统安全和监控非常重要。

  1. SSH登录日志记录了每个SSH连接尝试的详细信息,包括登录时间、来源IP地址、用户名、认证结果等。

  2. 监控SSH登录日志可以帮助发现异常或可疑的行为。

  3. 用户活动追踪:SSH登录日志记录了用户登录和退出的时间戳和终端信息。

  4. 故障排查:SSH登录日志还可以用于故障排查。

在这里插入图片描述

Lion Long
关注
  • 29
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
设置ssh免密登录出现问题:/usr/bin/ssh-copy-id: ERROR: ssh: connect to host : Connection timed out
baidu_41797613的博客
07-10 6206
服务器实现免密登录出现ERROR,无法连接
ssh登录阻塞在pledge: network的解决方法
littleRpl的博客
11-25 2万+
ssh登录阻塞在pledge: network的解决方法一 前言二 解决方法三 关于systemd-logind 一 前言 ssh 登录服务器是发生阻塞,大约会15-60秒才能登录成功。 使用 ssh -v debug方式登录。可以查看登录过程是在哪一个环节阻塞的。 ssh -v 192.168.0.17 如下图可以看到是network这一块发生了阻塞,大约30秒后才登录成功。 查资料,只找到这这样一段话: This is probably an issue with D-Bus and system
python操作ssh实现服务器日志下载的方法
09-22
主要介绍了python操作ssh实现服务器日志下载的方法,涉及Python建立ssh连接并下载服务器日志的相关技巧,需要的朋友可以参考下
SSH登录日志分析脚本(Python)
人生如旅
04-22 3741
好久没有更新博客了,写了很早的一个脚本存下档,一个用于分析用户登录日志 /etc/auth.log的脚本,可以分析 成功、失败次数,以及来自的IP地址和登录失败的用户名,可以用于监控是否有暴力攻击,多了就可以用于收集字典,用来避免密码过于简单的问题 #/usr/bin/env python3.4 #Anyalize the /etc/auth.log files to get #
查看ssh登录情况
最新发布
Yonggie的博客
07-03 174
【代码】查看ssh登录情况。
SSH的操作日志
07-31
NULL 博文链接:https://gojava1.iteye.com/blog/1019859
分析SSH登录日志
编码行者的博客
03-06 1047
SSH(Secure Shell)是远程连接服务器的常用工具,通过查看系统的认证日志,我们可以了解到系统上的SSH登录活动。总结起来,这个命令帮助系统管理员追踪SSH登录活动,尤其是关注失败的认证尝试。通过分析登录频率,管理员可以及时发现异常登录行为,加强系统的安全性。通过运行这个命令,我们可以得到一个按照SSH登录次数排序的IP地址列表。:按照出现次数进行逆序排序,以便最高频次的IP地址在前面显示。:统计每个唯一的IP地址出现的次数,并在前面显示出现次数。:对提取出的IP地址进行排序。
SSH登录日志
weixin_42562106的博客
06-23 6603
lastlog 列出所有用户最近登录的信息 last 列出当前和曾经登入系统的用户信息 lastb 列出失败尝试的登录信息 查看登录失败的ip grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more 查看所有登录IP grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]
查看linux ssh登陆日志记录
u010674101的专栏
07-07 9007
要查看Linux用户是使用密钥登录还是密码登录,可以通过检查系统日志文件来获取相关信息。在CentOS 7系统中,系统日志通常存储在/var/log目录下,主要包括secure日志文件。通过查看secure日志文件,您可以了解到用户是否使用密钥登录或密码登录。请注意,如果日志文件被定期清理或轮转,部分日志可能会被删除或移动到其他位置。
linux ssh 日志 登录检查
xing
01-12 2万+
ssh
SSH秘钥登录配置与系统日志管理
weixin_64655821的博客
08-22 2198
SSH秘钥登录配置与系统日志管理
ssh注册登录项目
06-28
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。在这个"SSH注册登录项目"中,我们很显然关注的是如何实现基于SSH的安全用户注册和登录功能。以下是对SSH注册登录项目的详细...
Ubuntu 配置SSH登录时报错:ssh: connect to host localhost port 22: Connection refused 以及 openssh-server 安装失败
khxu666的博客
08-14 6621
在Ubuntu 16.04 上面配置SSH免密码登录的时候,当使用 ssh-keygen -t rsa cp id_rsa.pub authorized_keys 命令生成公钥和私钥之后,通过 ssh localhost 命令连接本机的时候出现一下错误: ssh: connect to host localhost port 22: Connection refused 出现这个的...
Centos7入侵分析:分析SSH登录日志
u011442726的博客
09-06 1万+
检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/ma...
Linux服务器ssh登录,查看登录日志
热门推荐
lailaiquququ11的博客
10-29 7万+
  网络上的服务器很容易受到攻击,最惨的就是被人登录并拿到root权限。有几个简单的防御措施: 1. 修改ssh服务的默认端口。 ssh服务的默认端口是22,一般的恶意用户也往往扫描或尝试连接22端口。所以第一步就是修改这个默认端口 打开/etc/ssh/sshd_config,找到 Port 22 然后将22修改为其它没有被占用的端口,如1022。最好在1-1024之间,防止与用户进程端口冲...
Linux入*侵分析(二)分析SSH登录日志
weixin_34056162的博客
05-09 1511
SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况 (1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。 (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-2...
ssh远程登陆日志分析
supertor的博客
11-22 1万+
环境:CentOS (其他发行版略有不同) 本文适合具备linux基础的同学 确认自己的登录信息以及目前登陆服务器的用户 列出所有登陆账户 w 列出当前账户 who am i 1、查看成功登陆日志 指令: cd /var/log less secure | grep 'Accepted' 正常登陆状态日志: 月份 日期 时分秒 服务器主机名 程序(ss...
SSH服务器日志分析:深入理解SSH认证过程
十年运维开发经验的王义杰在此分享自己的知识和经验
09-20 497
密钥交换:使用Diffie-Hellman算法,加强了连接的安全性。认证方法:首先尝试了无密码登录,随后成功使用了公钥认证。PAM与SELinux:这两个安全机制都被启用,增加了系统的安全性。
如何查看ssh登录日志信息
weixin_41831919的博客
01-23 2万+
less /var/log/secure | grep 'Accepted' 正常登录日志信息 正常退出 密码错误登录 三次密码登陆失败 输入密码时,主动退出 为了安全期间:我们只允许xxx.xxx.xxx.xxx的机器进行SSH连接 iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT who /var/log/wtmp 查看当前在线用户,顺便可查看机器负载情况 w 或 who...
react 函数组件 上下文传值
05-23
在 React 函数组件中,可以通过 createContext 和 useContext 使用上下文传值。 1. createContext 首先,需要使用 createContext 创建一个上下文对象。 ```javascript const MyContext = React.createContext(defaultValue); ``` 其中,defaultValue 是可选的默认值。MyContext 对象包含两个属性:Provider 和 Consumer。 2. Provider 在父组件中,使用 Provider 包裹子组件,并传入一个 value 属性,这个属性值会被子组件中 useContext 获取到。 ```javascript <MyContext.Provider value={/* some value */}> <ChildComponent /> </MyContext.Provider> ``` 3. useContext 在子组件中,使用 useContext 获取到父组件中传入的 value。 ```javascript const value = useContext(MyContext); ``` 完整示例: ```javascript import React, { createContext, useContext } from 'react'; const MyContext = createContext('default value'); function ParentComponent() { return ( <MyContext.Provider value="hello"> <ChildComponent /> </MyContext.Provider> ); } function ChildComponent() { const value = useContext(MyContext); return <div>{value}</div>; } ``` 在上面的示例中,ChildComponent 组件可以获取到父组件中传入的 value 值,即 "hello"。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lion Long

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值