/var/log/secure安全日志分析

最新推荐文章于 2024-10-06 00:00:00 发布
最新推荐文章于 2024-10-06 00:00:00 发布
阅读量891 收藏 3
点赞数 14
分类专栏: linux运维 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beck_li/article/details/141886808
版权

1、tail -f /var/log/secure 看安全日志判断是否有人恶意攻击服务器

1.1 表示root用户关闭了会话(也就是关闭了终端)

xxx sshd: pam_unix(sshd:session): session closed for user root

1.2 表示接受来自14.23.168.10的root用户的公钥登录

xxx sshd: Accepted publickey for root from 14.23.168.10 port 36637 ssh2  

1.3 表示给root用户打开一个终端

xxx sshd: pam_unix(sshd:session): session opened for user root by (uid=0)  

1.4 表示已经连着的终端主动断开连接,并关闭终端

xxx sshd[9913]: Received disconnect from 183.60.122.237: 11: disconnected by user    

xxx sshd[9913]: pam_unix(sshd:session): session closed for user root

1.5 无效的用户redis来连接说明

#表示对端使用无效的用户redis来连接

Xxx sshd[31261]: Invalid user redis from 45.115.45.3 port 33274

#本机对redis用户进行认证,认证失败,发送错误信号给对端

xxx sshd[31261]: input_userauth_request: invalid user redis [preauth]

# 对端接收到错误信号主动断开连接

xxx sshd[31261]: Received disconnect from 45.115.45.3 port 33274:11: Bye Bye [preauth]

# 连接关闭

xxx sshd[31261]: Disconnected from 45.115.45.3 port 33274 [preauth]

2、/var/log/secure不再写入记录解决方法

2.1 systemctl restart sshd  重启sshd服务

2.2 service syslog restart

如果,电脑上没有syslog服务,只把sshd重启不起作用,请使用 chkconfig --list | grep sys 显示有rsyslog服务,用service rsyslog restart重启服务即可。

码哝小鱼
关注
专栏目录
/usr/lib/cups/notifier/dbus" has insecure permissions (0100777/uid=0/gid=0)
chongwang2201的博客
07-04 2375
意外发现 /var/log/cups 里面日志文件,增长超级快。切文件内容含有 "/usr/lib/cups/notifier/dbus" has insecure permissions (0100777/uid=0/gid=0) 经查询发现是linux 的打印服务出现异常。作为服务器...
服务器一直显示session opened for user root by (uid=0)
congsikuai0611的博客
02-13 8631
版本信息:Red Hat Enterprise Linux AS release 4 (Nahant Update 3)Kernel 2.6.9-34.ELsmp on an i686查看日志可以发现:Feb 9 07:35:0...
python实现/var/log/secure的结构化解析
WangYouJin321的博客
07-15 424
Linux 的主机,都会受到各种攻击的威胁,常见的就是ssh暴力破解,以下是一个python脚本,对/var/log/secure登录日志中的ssh记录进行结构化解析, 主要关注以下场景: 1. #invalid user无效用户 { "src_ip": , "src_port": , "src_host": , "pid": , "program": , "type": , "state": , "username": , ...
安全日志:/var/log/secure 详解
weixin_49129782的博客
07-06 9308
安全日志:/var/log/secure /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码,或 爆力破解: [root@localhost ~]# tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 13
【网络资源学习笔记】Linux日志分析
天在等我,菜鸟想飞
06-27 1933
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。本文简介一下Linux系统日志及日志分析技巧。日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf日志文件说明记录了系统定时任务相关的日志记录打印信息的日志记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息记录邮件信息记录系统重要信息的日志。
/var/log/auth.log 或者 /var/log/secure都记录什么
06-08
`/var/log/auth.log` 或者 `/var/log/secure` 文件是系统日志文件,记录了用户身份验证和授权方面的信息。具体包括以下内容: 1. 用户登录和注销的信息,包括登录设备、登录用户、登录时间等。 2. 用户的身份验证...
linux var log目录作用,Linux系统/var/log/journal/垃圾日志清理 - 米扑博客
weixin_28856717的博客
04-29 1801
CentOS系统中有两个日志服务,分别是传统的 rsyslog 和 systemd-journal# ls -l /etc/logrotate.d/-rw-r--r-- 1 root root 91 Apr 11 2018 bootlog-rw-r--r-- 1 root root 160 Sep 15 2017 chrony-rw-r--r-- 1 root root 138 Oct 30...
linux 自动清理var log,Linux 系统 /var/log/journal/ 垃圾日志清理-Fun言
weixin_31787335的博客
05-06 1774
CentOS系统中有两个日志服务,分别是传统的 rsyslog 和 systemd-journal# ls -l /etc/logrotate.d/-rw-r--r-- 1 root root 91 Apr 11 2018 bootlog-rw-r--r-- 1 root root 160 Sep 15 2017 chrony-rw-r--r-- 1 root root 138 Oct 30...
/var/log目录下日志文件详解
灬紫荆灬
02-11 2232
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/messages — 包括整体系统信息,其中也...
如何分析/var/log/secure
04-22
/var/log/secure是包含系统安全信息的系统日志文件。要分析/var/log/secure,可以按照以下步骤进行: ...以上是一些常见的分析/var/log/secure日志的步骤,具体分析方法还需要根据实际情况进行调整。
详解Linux中的日志及用日志来排查错误的方法
zzwdkxx的专栏
03-29 2万+
转自:http://www.jb51.net/LINUXjishu/378593.html 这篇文章主要介绍了详解Linux中的日志及用日志来排查错误的方法,是Linux入门学习中的基础知识,需要的朋友可以参考下 Linux 系统日志 许多有价值的日志文件都是由 Linux 自动地为你创建的。你可以在 /var/log 目录中找到它们。下面是在一个典型的
定时任务Crontab 报错踩坑:Cron: pam_unix (cron:session): session opened/closed for user root by (uid=0)
FuJinlong94的博客
09-23 1万+
Linux定时任务crontab 不执行没效果 service crond status 查看后出现 Cron: pam_unix (cron:session): session opened/closed for user root by (uid=0) 这类信息 因为cron可以按配置多久时间运行一次。当cron执行此操作时,它通常作为root用户运行,这样做会为所述用户创建一个会话。 修改过程: 1,进入/etc/pam.d目录 2,打开文件 common-session-noninte
auth.log 频繁出现Cron: pam_unix (cron:session): session opened/closed for user root by (uid=0)
风的专栏
11-15 2万+
This is my week of playing around with mail servers and I have been keeping an eye on the logs on a regular basis. I noticed that theauth.logwas riddled with millions of these pointless (from my POV ...
sshd登录问题: pam_unix(sshd:session): session closed for user root
热门推荐
weixin_43570089的博客
08-20 3万+
报错: pam_unix(sshd:session): session closed for user root 工位上使用ssh无法root登录(其他账户也一样)。 1、踢账户(反复发作) who pkill -kill -t pts/1 who 2、 期间重启过网卡问题没解决,最后解决办法重启网络(呵呵)。 linux下ssh登陆日志文件secure分析(相关连接) https://www.i...
linux /var/log/secure 安全日志
lyyslsw的专栏
01-03 7616
/var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 很多linux的新发行版已经不再使用,改为使用rsyslog。 查看rsyslog的配置目录/etc/rsyslog.d ...
/var/log/secure 日志不记录问题
mazongqiang的专栏
05-10 6186
直接删除日志文件的时候,对应的服务需要重启。运行命令:service syslog restart ;service sshd restart 后正常。 顺便复习下ssh在syslog中的设置的知识。   1、/etc/ssh/sshd_config 中的设置:(即:SyslogFacility 设为AUTHPRIV) [root@mail ~]# more /etc/ssh/sshd_c
linux系统/var/log目录下的信息详解
weixin_34366546的博客
02-28 2116
一、/var目录 /var 所有服务的登录的文件或错误信息文件(LOG FILES)都在/var/log下,此外,一些数据库如MySQL则在/var/lib下,还有,用户未读的邮件的默认存放地点为/var/spool/mail 二、:/var/log/ 系统的引导日志:/var/log/boot.log例如:Feb 26 10:40:48 sendmial : sendmail startu...
如何安全地大规模部署 GenAI 应用程序
最新发布
网络研究观
10-06 560
将生成式人工智能融入到你的商业模式中,既会带来新的风险,也会带来新的回报。以下是如何应对这些风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码哝小鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值