linux secure日志怎么看?如何分析排查安全攻击

在 Linux 系统中,secure 日志(通常位于 /var/log/secure/var/log/auth.log)是系统安全审计的核心文件,它记录了与身份验证、授权以及系统安全相关的关键事件。

以下是关于 Linux secure 日志的详细解析,包括其内容、常见场景、查看方法及故障排查技巧。

Linux入侵排查
加载中
Linux入侵排查

日志文件位置

不同 Linux 发行版默认存储位置略有不同:

  • RHEL / CentOS / Fedora / Rocky Linux / AlmaLinux:
    /var/log/secure
  • Ubuntu / Debian / Kali Linux:
    /var/log/auth.log

    (注:在较新的 systemd 系统中,也可能通过 journalctl -u sshdjournalctl -b 查看)


主要记录内容

secure 日志主要记录以下几类事件:

✅ 身份验证成功/失败

  • SSH 登录成功或失败
  • su 切换用户
  • sudo 提权操作
  • PAM(Pluggable Authentication Modules)模块触发的认证事件

🔐 权限与授权

  • 用户尝试执行特权命令
  • 公钥/私钥验证结果
  • linux secure日志怎么看?如何分析排查安全攻击

  • 多因素认证(MFA)结果

🛡️ 安全事件

  • 防火墙拦截(如果配置了日志)
  • SELinux/AppArmor 拒绝访问(通常也在 audit.log 中)
  • 非法登录尝试(暴力破解迹象)

常见日志条目示例

✅ 成功登录

Jan 10 14:23:01 server sshd[12345]: Accepted publickey for admin from 192.168.1.100 port 52413 ssh2: RSA SHA256:abc123...
Jan 10 14:23:01 server sshd[12345]: pam_unix(sshd:session): session opened for user admin by (uid=0)

❌ 失败登录(常见于暴力破解)

Jan 10 14:25:01 server sshd[12346]: Failed password for root from 10.0.0.5 port 22 ssh2
Jan 10 14:25:01 server sshd[12346]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.5  user=root

🔑 使用 sudo 提权

Jan 10 14:30:00 server sudo: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/bin/systemctl restart nginx

🔄 SSH 会话结束

Jan 10 15:00:00 server sshd[12345]: pam_unix(sshd:session): session closed for user admin

实用查看与排查命令

linux secure日志怎么看?如何分析排查安全攻击

🔍 查看最近 100 行

sudo tail -n 100 /var/log/secure
# 或
sudo tail -n 100 /var/log/auth.log

🔍 实时监控日志(类似 tail -f)

sudo tail -f /var/log/secure

🔍 查找特定用户的登录尝试

grep "username" /var/log/secure

🔍 查找失败的 SSH 登录(排查暴力破解)

grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

说明:此命令会统计每个 IP 地址失败登录的次数,数字越大表示该 IP 越可疑。

🔍 查找成功登录记录

grep "Accepted" /var/log/secure

🔍 查找 sudo 操作

grep "sudo" /var/log/secure

安全加固建议

基于 secure 日志,可以采取以下安全措施:

linux secure日志怎么看?如何分析排查安全攻击

风险点 建议措施
暴力破解 安装 fail2ban 自动封禁多次失败登录的 IP
SSH 端口暴露 更改默认 SSH 端口(如 22 → 2222),减少扫描噪音
密码登录 禁用密码登录,仅允许密钥认证(PasswordAuthentication no
root 远程登录 禁止 root 直接 SSH 登录(PermitRootLogin no
日志轮转 确保 logrotate 正确配置,避免日志文件过大占满磁盘

注意事项

  1. 权限要求:查看 secure 日志通常需要 rootsudo 权限。
  2. 日志轮转:系统会自动轮转日志文件(如 secure.1, secure.2),旧日志会被压缩(.gz)。
  3. 集中日志管理:在生产环境中,建议将日志发送到中央日志服务器(如 ELK Stack、Splunk、Graylog),以便统一分析和告警。
  4. 审计日志分离secure 主要关注认证,更详细的系统调用审计应查看 /var/log/audit/audit.log(需启用 auditd)。

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/487385.html

(0)
feifeicms是什么?feifeicms怎么搭建网站
上一篇 2026年7月12日 14:58
ftp服务器怎么写入?ftp上传文件失败怎么解决
下一篇 2026年7月12日 15:03

相关推荐

  • Linux如何处理多个信号?Linux信号处理机制详解

    Linux系统中信号是进程间通信的轻量级机制,通过kill命令或系统调用发送,默认终止进程,但可通过信号处理函数自定义行为,理解信号掩码和默认动作是掌握其核心逻辑的关键,在Linux的进程管理世界里,信号(Signal)就像是一个个急促的敲门声,它不需要复杂的握手协议,也不占用大量内存带宽,却能瞬间改变一个进程……

    2026年7月8日
    17900
  • linux磁盘标签怎么看?linux查看磁盘标签方法

    Linux磁盘标签(Label)是文件系统的唯一标识符,它能让你通过名称而非设备路径(如/dev/sda1)来挂载磁盘,从而避免因设备顺序变化导致挂载点错乱的问题,在Linux系统管理中,我们经常遇到这样一个尴尬场景:重启服务器后,原本挂载在/data的磁盘突然跑到了/mnt下,导致数据库启动失败,这通常是因为……

    2026年7月12日
    18800
  • Linux如何更新DNS配置?Linux修改DNS服务器地址方法

    Linux更新DNS最核心的方法是修改/etc/resolv.conf文件或使用systemd-resolved服务,但需注意不同发行版(如CentOS、Ubuntu)的管理工具差异,直接修改配置文件可能在重启后失效,建议通过Netplan或NetworkManager等持久化工具进行配置,在Linux系统中……

    2026年7月4日
    1800
  • linux根路径在哪里?linux根目录详解

    Linux根路径即“/”,它是整个文件系统的唯一入口和最高层级目录,所有文件、设备、进程配置均挂载于此,它是Linux系统的绝对起点,想象一下,如果把Linux操作系统比作一座庞大的摩天大楼,那么根路径“/”就是这座大楼的地基和总入口,无论你身处哪一层楼(哪个子目录),最终都要追溯到这个唯一的起点,对于刚接触L……

    2026年7月6日
    17400
  • linux安装libpng报错怎么办?linux安装libpng详细步骤

    在Linux系统中安装libpng最稳妥的方式是通过包管理器(如apt或yum)直接安装,若需最新特性或特定版本,则需从源码编译,核心命令为./configure && make && sudo make install,很多开发者在搭建图像处理服务或运行依赖图形库的应用时,常会……

    2026年7月4日
    3610
  • linux怎么安装phpstorm?linux安装phpstorm详细步骤

    在Linux系统上安装PHPStorm最稳妥的方式是通过JetBrains官方提供的AppImage格式进行一键部署,无需配置复杂的依赖环境即可实现开箱即用的开发体验,对于许多从Windows或macOS迁移至Linux的开发者而言,配置一个流畅的IDE环境往往比编写代码本身更让人头疼,PHPStorm作为业界……

    2026年7月8日
    4000
  • RedHat Linux网卡配置失败怎么办?Linux系统网卡驱动安装方法

    在Red Hat Enterprise Linux (RHEL) 中配置网卡的核心在于掌握nmcli命令行工具与NetworkManager服务,通过修改配置文件或执行动态指令,即可实现从静态IP分配到Bonding链路聚合的灵活管理,确保生产环境网络的高可用性与稳定性,RHEL作为企业级Linux的标杆,其网……

    2026年7月6日
    15200
  • Linux UltraEdit怎么破解?UltraEdit永久激活码免费获取

    Linux环境下不存在官方“UltraEdit”软件,因此所谓的“破解”均为非法盗版或恶意软件,强烈建议放弃此念头,转而使用免费的Vim、Emacs或VS Code等安全替代品,在Linux服务器运维和代码开发领域,文本编辑器是最高频使用的工具之一,很多从Windows转战Linux的用户,第一反应往往是寻找熟……

    2026年7月10日
    17500
  • linux怎么关闭显卡?linux关闭显卡驱动命令

    在 Linux 系统中,“关闭显卡”通常指的是禁用独立显卡(NVIDIA/AMD)以节省电量,或者禁用集成显卡,具体操作取决于你的硬件架构(Intel + NVIDIA 双显卡,或纯 AMD/NVIDIA)以及你使用的显示服务器(X11 或 Wayland),以下是几种常见场景和方法:禁用 NVIDIA 独立显……

    2026年7月10日
    11700
  • Linux GPIO Poll怎么用?Linux GPIO轮询机制详解

    在Linux系统中,使用GPIO轮询(poll)机制是处理硬件中断响应延迟敏感场景的高效方案,它能通过非阻塞方式实时监测引脚状态变化,显著降低CPU占用率并提升系统实时性,嵌入式开发中,开发者常面临一个棘手问题:如何在不消耗大量CPU资源的前提下,快速捕捉外部设备的状态变化?传统的阻塞式读取会让进程陷入等待,而……

    2026年7月5日
    17900

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注