在 Linux 系统中,secure 日志(通常位于 /var/log/secure 或 /var/log/auth.log)是系统安全审计的核心文件,它记录了与身份验证、授权以及系统安全相关的关键事件。
以下是关于 Linux secure 日志的详细解析,包括其内容、常见场景、查看方法及故障排查技巧。
日志文件位置
不同 Linux 发行版默认存储位置略有不同:
- RHEL / CentOS / Fedora / Rocky Linux / AlmaLinux:
/var/log/secure
- Ubuntu / Debian / Kali Linux:
/var/log/auth.log
(注:在较新的 systemd 系统中,也可能通过
journalctl -u sshd或journalctl -b查看)
主要记录内容
secure 日志主要记录以下几类事件:
✅ 身份验证成功/失败
- SSH 登录成功或失败
su切换用户sudo提权操作- PAM(Pluggable Authentication Modules)模块触发的认证事件
🔐 权限与授权
- 用户尝试执行特权命令
- 公钥/私钥验证结果
- 多因素认证(MFA)结果
🛡️ 安全事件
- 防火墙拦截(如果配置了日志)
- SELinux/AppArmor 拒绝访问(通常也在 audit.log 中)
- 非法登录尝试(暴力破解迹象)
常见日志条目示例
✅ 成功登录
Jan 10 14:23:01 server sshd[12345]: Accepted publickey for admin from 192.168.1.100 port 52413 ssh2: RSA SHA256:abc123... Jan 10 14:23:01 server sshd[12345]: pam_unix(sshd:session): session opened for user admin by (uid=0)
❌ 失败登录(常见于暴力破解)
Jan 10 14:25:01 server sshd[12346]: Failed password for root from 10.0.0.5 port 22 ssh2 Jan 10 14:25:01 server sshd[12346]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.5 user=root
🔑 使用 sudo 提权
Jan 10 14:30:00 server sudo: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/bin/systemctl restart nginx
🔄 SSH 会话结束
Jan 10 15:00:00 server sshd[12345]: pam_unix(sshd:session): session closed for user admin
实用查看与排查命令
🔍 查看最近 100 行
sudo tail -n 100 /var/log/secure # 或 sudo tail -n 100 /var/log/auth.log
🔍 实时监控日志(类似 tail -f)
sudo tail -f /var/log/secure
🔍 查找特定用户的登录尝试
grep "username" /var/log/secure
🔍 查找失败的 SSH 登录(排查暴力破解)
grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
说明:此命令会统计每个 IP 地址失败登录的次数,数字越大表示该 IP 越可疑。
🔍 查找成功登录记录
grep "Accepted" /var/log/secure
🔍 查找 sudo 操作
grep "sudo" /var/log/secure
安全加固建议
基于 secure 日志,可以采取以下安全措施:
| 风险点 | 建议措施 |
|---|---|
| 暴力破解 | 安装 fail2ban 自动封禁多次失败登录的 IP |
| SSH 端口暴露 | 更改默认 SSH 端口(如 22 → 2222),减少扫描噪音 |
| 密码登录 | 禁用密码登录,仅允许密钥认证(PasswordAuthentication no) |
| root 远程登录 | 禁止 root 直接 SSH 登录(PermitRootLogin no) |
| 日志轮转 | 确保 logrotate 正确配置,避免日志文件过大占满磁盘 |
注意事项
- 权限要求:查看
secure日志通常需要root或sudo权限。 - 日志轮转:系统会自动轮转日志文件(如
secure.1,secure.2),旧日志会被压缩(.gz)。 - 集中日志管理:在生产环境中,建议将日志发送到中央日志服务器(如 ELK Stack、Splunk、Graylog),以便统一分析和告警。
- 审计日志分离:
secure主要关注认证,更详细的系统调用审计应查看/var/log/audit/audit.log(需启用 auditd)。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/487385.html



