Linux日志-secure日志

作者介绍：简历上没有一个精通的运维工程师。希望大家多多关注作者，下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

Linux进阶部分又分了很多小的部分,我们刚讲完了Linux基础软件，下面是Linux日志。Linux 系统中的日志是记录系统活动和事件的重要工具，它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志，登录日志，定时任务日志，监控日志，崩溃日志，二进制日志等内容，这些日志都存储在/var/log目录下，有的日志文本格式，可以直接使用前面学到的tail cat 等命令分析，有的日志是二进制格式需要专门的命令才能解释，比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。

1.Linux日志-message日志

2.Linux日志-secure日志(本章节)

3.Linux日志-btmp日志

4.Linux日志-wtmp日志

5.Linux日志-lastlog日志

6.Linux日志-cron日志

7.Linux日志-sa日志

8.Linux日志-journal日志

9.Linux日志-dmesg日志

10.Linux日志-kdump日志

11.Linux日志-日志小结

上一小节，我们讲Linux最重要的日志message，下面我们接着讲Linux的其他日志内容。

在Linux系统中，secure 日志是系统日志的一部分，主要用于记录与系统安全相关的活动和事件。一般情况下，我们没有安全相关的需求是不会分析这个日志的，这个日志主要记录一下几个方面的内容。

1. 用户登录和认证：

   • 记录用户登录系统的事件，包括成功和失败的登录尝试。

   • 记录用户使用的认证方法，如密码、SSH密钥等。

2. sudo 使用记录：

   • 记录使用 sudo 命令进行特权操作的用户和时间。

   • 记录特权操作的成功和失败情况。

3. 安全策略变更：

   • 记录安全策略的修改，如用户权限的变更、密码策略的更新等。

4. 系统服务启动和停止：

   • 记录系统服务的启动、停止或重启的信息，这些操作可能会涉及到特权操作或安全相关的服务。

5. 防火墙和安全组规则：

   • 记录防火墙（如iptables）或安全组（如ufw）规则的变更或拒绝的尝试。

6. 系统安全事件：

   • 记录系统可能遭受到的攻击或异常行为，如登录失败的暴力攻击尝试、拒绝服务攻击的迹象等。

日志基本信息

• 日志路径：/var/log/secure

• 日志格式: 文本格式

• 查看方法：普通查看文件方法：tail  cat vi 等命令

登录成功日志

#登录成功的日志
Jul  2 21:16:50 localhost sshd[2084]: Accepted publickey for root from 221.237.228.159 port 63426 ssh2: RSA SHA256:n3ZgC//dzeUFInsQEhZ3uhzfIVNtBrdvkXQNFnhavUk
Jul  2 21:16:50 localhost  sshd[2084]: pam_unix(sshd:session): session opened for user root by (uid=0)port 19399

sudo日志

#sudo的日志
Jul  2 16:12:07 localhost sudo:    root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=/bin/systemctl restart docker
Jul  2 16:12:07 localhost sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)

暴力破解日志

#暴力破解的日志，服务器的对外开放的ssh端口，尤其是暴露的22端口，这些会非常多
Jul  2 00:05:12 localhost sshd[586]: Connection reset by 198.235.24.145 port 58878 [preauth]
Jul  2 00:24:30 localhost sshd[1616]: Did not receive identification string from 103.150.10.59 port 52444
Jul  2 01:11:56 localhost sshd[4058]: Invalid user  from 64.62.156.15 port 27599
Jul  2 01:11:56 localhost sshd[4058]: input_userauth_request: invalid user  [preauth]
Jul  2 01:12:00 localhost sshd[4058]: Connection closed by 64.62.156.15 port 27599 [preauth]
Jul  2 01:33:31 localhost sshd[5152]: Did not receive identification string from 47.98.101.50 port 49214
Jul  2 01:54:21 localhost sshd[6193]: Connection closed by 199.45.154.121 port 54916 [preauth]
Jul  2 02:35:42 localhost sshd[8316]: Invalid user  from 64.62.197.61 port 19359

总结

1.该日志主要主要是和安全登录相关，只要暴露了攻击面，就会被暴力破解。

2.当然只要没有人恶意连续大量的连接，一般情况下倒是可以忽略不计的。

3.当然从安全的角度来说，我们需要减少暴露面，强密码来保证服务器的安全。

关注微信公众号《运维小路》获取更多内容。