散修程序员

centos7系统日志-secure

 2023-05-10    0 条评论    79287 浏览

linux

centos系统日志

系统日志目录

/var/log

登陆相关信息

日志文件如下

/var/log/secure

secure包含了所有登陆相关的信息,包括正常ssh用户密码登陆、认证文件登陆、登陆失败信息等等

所以一般通过此日志文件来挖掘一些安全事件信息

例如:

  • SSH暴力破解
  • 外网主机频繁使用非法账号尝试ssh登录
  • 特权账户登录系统
  • SSH配置异常-未关闭ROOT权限登陆

日志样例

样例一-嗅探用户

两个标准的ssh登陆嗅探日志

Apr 25 09:01:21 VM-24-13-centos sshd[10816]: Invalid user rongtian_test from 176.58.103.128 port 50932

时间 Apr 25 09:01:21,176.58.103.128:50932主机尝试使用用户 rongtian_test 进行登陆

Apr 25 09:01:20 VM-24-13-centos sshd[10778]: Invalid user rmcp from 176.58.103.128 port 50224

时间 Apr 25 09:01:20,176.58.103.128:50224主机尝试使用用户 rmcp 进行登陆

对应正则匹配
匹配结果
('Apr 25 09:01:21', 'Invalid user', 'rongtian_test', '176.58.103.128', '50932')

样例二-嗅探用户

用户密码登陆嗅探日志

Apr 25 09:01:23 VM-24-13-centos sshd[10805]: Failed password for invalid user rolo from 176.58.103.128 port 50716 ssh2

描述:在4月25日09:01:23时间点,外部主机176.58.103.128 port 50716通过用户rolo尝试使用密码登陆

正则抽取结果
('Apr 25 09:01:23', 'Failed', 'password', 'for invalid user rolo', 'rolo', '176.58.103.128', '50716')

样例三-连接中断

连接中断嗅探

Apr 25 08:59:11 VM-24-13-centos sshd[4028]: Connection closed by 176.58.103.128 port 55644 [preauth]

正则抽取结果
('Apr 25 08:59:11', 'Connection closed', '176.58.103.128', '55644')

样例四-登陆成功

root用户登陆成功

May 2 19:43:26 VM-24-13-centos sshd[30855]: Accepted password for root from 123.185.136.208 port 12806 ssh2

正则抽取结果
('May 2 19:43:26', 'Accepted password for', 'root', '123.185.136.208', '12806')

解释:时间:May 2 19:43:26 访问主机 123.185.136.208 port 12806通过root用户+密码登陆成功

样例五-root用户被ssh爆破

通过root用户登陆失败,此类日志频繁说明有人在爆破

Apr 25 09:01:27 VM-24-13-centos sshd[11045]: Failed password for root from 176.58.103.128 port 51468 ssh2

正则抽取结果
('Apr 25 09:01:27', 'Failed password for', 'root', '176.58.103.128', '51468')

解释:时间 Apr 25 09:01:27,主机地址176.58.103.128 port 51468 尝试通过root用户进行密码登陆失败

样例六-登陆失败

Apr 25 09:01:27 VM-24-13-centos sshd[11101]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=176.58.103.128 user=root

正则抽取结果
('Apr 25 09:01:27', 'VM-24-13-centos', 'authentication failure', '', '0', '176.58.103.128', 'user', 'root')

解释:登陆失败信息...

样例七-PAM信息

Apr 25 09:01:27 VM-24-13-centos sshd[11113]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"

正则抽取结果
('Apr 25 09:01:27', ' requirement "uid >= 1000" not met by user "root"')

解释:PAM模块禁止uid小于1000的用户进行登陆

样例八-会话信息

May 2 21:55:01 VM-24-13-centos sshd[30855]: pam_unix(sshd:session): session closed for user root

正则抽取结果
('May 2 21:55:01', 'VM-24-13-centos sshd[30855]', 'closed', 'root')

解释:会话信息

样例九-登录信息

Apr 26 15:46:46 VM-24-13-centos sshd[26468]: pam_unix(sshd:session): session opened for user root by (uid=0)

正则抽取结果
('Apr 26 15:46:46', 'opened', 'root')

解释:会话开启/关闭pam_unix(sshd:session)

挖掘结果

通过日志挖掘到四种问题

特权账户登录系统

例如:主机采用超级管理员账号root登录系统

SSH配置异常-未关闭ROOT权限登陆

例如: 内网主机:123.185.136.208未关闭root账号登录ssh权限。

外网主机频繁使用非法账号尝试ssh登录

例如:外网IP:176.58.103.128频繁使用非法账号ssh登录服务器:,疑似发起弱口令攻击。

外网主机发起针对linux服务器(ssh)的暴力破解攻击

例如:外网IP:176.58.103.128针对linux服务器(ssh):账号发起暴力破解攻击。