/var/log/auth.log记录Linux系统身份验证事件,如SSH登录、sudo使用等,通过分析可发现异常行为。1. 常见条目包括SSH成功/失败登录、无效用户尝试、sudo命令执行和PAM认证失败,反映潜在安全威胁。2. 可用grep、awk等命令提取失败登录IP、root尝试、sudo操作等信息,快速定位风险。3. 实际案例中,通过查看Accepted记录发现异常IP频繁登录user1,结合iptables封禁并检查进程与登录历史。4. 安全建议:禁用root远程登录、启用密钥认证、部署fail2ban、最小化权限、定期轮换密码及日志轮转,提升系统安全性。
Linux系统中的/var/log/auth.log是记录与身份验证相关的安全事件的核心日志文件,常见于Debian、Ubuntu等发行版。它记录了用户登录、sudo命令使用、SSH访问尝试、PAM认证过程等关键行为。通过分析该日志,可以快速发现异常登录、暴力破解、权限提升等安全问题。
SSH登录成功或失败:
Accepted password for user from 192.168.1.100 port 54322 ssh2:表示用户通过密码认证成功登录,注意来源IP是否可信。Failed password for root from 10.0.0.5 port 22 ssh2:root账户登录失败,可能是暴力破解的迹象。Invalid user admin from 198.51.100.1:尝试以不存在的用户名登录,典型扫描行为。sudo命令使用记录:
user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/systemctl restart nginx:user1通过sudo执行了重启服务操作,可用于审计特权命令。PAM认证失败:
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.10:底层认证模块记录失败,结合rhost可定位攻击源。利用常用命令组合快速提取关键信息:
grep "Failed password" /var/log/auth.log | tail -20
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr
grep "root" /var/log/auth.log | grep -E "(Failed|Accepted)"
grep "sudo:" /var/log/auth.log
grep "Invalid user" /var/log/auth.log
假设发现服务器响应变慢,怀疑有异常登录:
grep "Accepted" /var/log/auth.log | grep sshdgrep "Accepted.*user1" /var/log/auth.log | awk '{print $11}' | sort | uniq -ciptables -A INPUT -s 198.51.100.10 -j DROP
ps aux | grep user1 和 lastlog | grep user1
基于日志分析结果,可采取以下措施提升安全性:
PermitRootLogin no in /etc/ssh/sshd_config
基本上就这些。日常关注/var/log/auth.log的关键事件,结合自动化工具,能有效提升Linux系统的安全防护能力。
以上就是Linux /var/log/auth.log日志分析实例的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
366
