linux安全日志核心作用是记录登录行为、权限变更、认证失败等关键事件,需定位路径(如/var/log/secure或auth.log)、识别异常信号(如failed password、invalid user)、用grep/awk/lastb等命令筛查风险并配合journalctl等提升效率。
Linux 安全日志的核心作用是记录登录行为、权限变更、认证失败等关键安全事件。看懂它不靠猜,靠定位路径 + 看清结构 + 用对命令。
一、先找到正确的日志文件
不同发行版存放位置不同,不能硬记路径:
- RHEL/CentOS/Fedora 系统:主要看 /var/log/secure(SSH、sudo、PAM 认证类事件)
- Debian/Ubuntu 系统:主要看 /var/log/auth.log
- 所有系统都可查失败登录尝试:/var/log/btmp(二进制格式,需用 lastb 查)
- 成功登录记录在:/var/log/wtmp(用 last 查)
- 确认系统类型:运行 lsb_release -a 或 cat /etc/os-release
二、读懂日志里的“异常信号”
安全日志不是逐行读,而是盯住几类高频风险线索:
- Failed password:SSH 暴力破解最常见标志,出现在 /var/log/secure 或 auth.log 中
- Invalid user:攻击者尝试不存在的用户名,比密码错误更可疑
- PAM authentication failure:非 SSH 服务(如 vsftpd、postfix)的认证失败
- session opened for user root:非预期的 root 登录,尤其来自陌生 IP
- sudo: user : TTY=... ; PWD=... ; USER=root ; COMMAND=...:提权操作,需核对是否授权
三、用 4 个命令快速筛查风险
不用装工具,原生命令就能发现 80% 的初期入侵痕迹:
- 查最近 50 条失败登录:grep "Failed password" /var/log/secure | tail -50
- 统计高频攻击 IP(前 5 名):grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -5
- 查某 IP 的全部活动(含成功/失败):grep "192.168.1.100" /var/log/secure
- 查所有 root 登录记录:grep "session opened.*user root" /var/log/secure
四、配合辅助命令提升效率
单靠 grep 有时不够,加几个小技巧更准:
- 时间范围筛选:用 journalctl --since "2 hours ago" -u sshd 替代直接读文件(systemd 系统推荐)
- 二进制失败日志解码:lastb -i | head -20(-i 显示 IP 而非主机名)
- 排除干扰行:grep -v "invalid" /var/log/secure | grep "Failed" 可跳过无效用户尝试,聚焦真实密码爆破
- 导出可疑 IP 列表供封禁:grep "Failed password" /var/log/secure | awk '{print $11}' | sort -u > suspicious_ips.txt
