文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Linux 系统日志—Secure,Btmp,Wtmp文件详解

lzzyok小精灵

lzzyok小精灵

2024-04-24 00:11

关注

  只要将我们的服务器在公网环境公开,提供服务。就避免不了来自全球互联网上的各种攻击。大部分的攻击都是一些泛攻击,利用程序自动扫描并发起攻击而已。

  1、介绍

  Linux系统提供了全方位的日志记录。我们登录Linux系统之后做的事情Linux都有相应的日志记录。整个日志系统比较多。这里只介绍和登录比较密切相关的三个日志。

  secure,btmp和wtmp这三个日志文件。

  2、wtmp日志

  首先,介绍wtmp日志文件,该文件记录了所有的登录过系统的用户信息。(PS:只记录了正确登录的用户。密码错误等在btmp文件和secure文件中)

  该文件的地址路径为:var/log/wtmp 。wtmp文件是一个二进制文件,无法通过cat或者vim 进行阅读。需要通过命令last进行阅读。

  示例如下:

  复制

  1.  [root@iZuf /]# last -F

  2.  root pts/0 我的IP地址 Wed Nov 23 08:43:28 2022 still logged in

  3.  ...

  4.  root pts/0 我的IP地址 Wed Oct 19 16:00:28 2022 - Wed Oct 19 18:16:46 2022 (02:16)

  5.  root pts/0 我的IP地址 Wed Oct 19 09:51:51 2022 - Wed Oct 19 10:42:08 2022 (00:50)

  6.  ...

  last 命名会默认从wtmp文件中读取数据。所以我们可以不用添加wtmp文件路径,但是如果使用 last -f 就需要我们主动添加wtmp路径了。

  上面的数据分别是:

  如果我们觉得日期显示阅读不直观,可以通过命令last --time-format 进行日期格式化。示例如下:

  复制

  1.  [root@iZuf /]# last --time-format iso

  2.  ...

  3.  root pts/0 我的IP地址 2020-08-07T17:05:19+08:00 - 2020-08-07T17:06:39+08:00 (00:01)

  时间将会变成我们能够直接阅读的格式。(PS:+08:00 只是说明当前日期进行了时区添加,并不代表我们还需要在显示的时间中添加8小时哦)

  --time-format 后面的可选参数为:

  这个文件将会记录全部的登录记录。如果中间出现了不属于我们熟悉的ip登录。那么说明账户密码有泄漏。或者其他非法登录产生。

  PS:-F 命令不能和--time-format 一起使用,因为它们两者都对输出的时间格式有影响。

  3、btmp 日志

  如果说wtmp是记录登录成功的日志。那么btmp就是记录所有尝试登录,但是登录失败的日志。它存储的路径和wtmp文件在同一目录下:/var/log/btmp

  同样btmp也是属于二进制文件。无法通过cat或者vim 进行阅读。需要通过命令lastb进行阅读。

  last: 阅读的wtmp文件

  lastb:阅读的btmp文件

  这两个指令是有一个字母的区别。千万不要弄混了

  这两个命令的 参数可以说是完全一样。可以用于last的也可以用于lastb。

  lastb的命令参数如下:

  PS:-F 命令不能和--time-format 一起使用,因为它们两者都对输出的时间格式有影响。

  具体使用示例:(PS:由于内容比较多,就先显示10条记录了)

  复制

  1.  [root@iZuf /]# lastb -10

  2.  liu ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  3.  sine ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  4.  ftpUser ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  5.  sine ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  6.  liu ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  7.  chenms ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  8.  mingjian ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  9.  liu ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  10.  sine ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  11.  ftpUser ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

  格式表现为:

  第一列显示登录名,第二列显示登录ssh方式很明显 ssh:notty是在使用暴力破解ssh密码。(这也是为什么Linux建议一段时间内跟换密码的原因,当然使用秘钥的安全性要比密码高不少。),第三列显示的就是访问者IP地址了。 之后的就是时间和耗费时长了。

  示例,将时间戳进行序列化后显示如下:

  复制

  1.  [root@iZuf /]# lastb -10 --time-format iso

  2.  liu ssh:notty 170.64.132.128 2022-11-23T07:40:24+08:00 - 2022-11-23T07:40:24+08:00 (00:00)

  3.  sine ssh:notty 170.64.132.128 2022-11-23T07:40:24+08:00 - 2022-11-23T07:40:24+08:00 (00:00)

  4.  ftpUser ssh:notty 170.64.132.128 2022-11-23T07:40:23+08:00 - 2022-11-23T07:40:23+08:00 (00:00)

  5.  sine ssh:notty 170.64.132.128 2022-11-23T07:40:23+08:00 - 2022-11-23T07:40:23+08:00 (00:00)

  6.  liu ssh:notty 170.64.132.128 2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00 (00:00)

  7.  chenms ssh:notty 170.64.132.128 2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00 (00:00)

  8.  mingjian ssh:notty 170.64.132.128 2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00 (00:00)

  9.  liu ssh:notty 170.64.132.128 2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00 (00:00)

  10.  sine ssh:notty 170.64.132.128 2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00 (00:00)

  11.  ftpUser ssh:notty 170.64.132.128 2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00 (00:00)

  (1)日志时长

  btmp日志由于内容过多。它会按30天进行备份一次数据。只会备份一个月的数据。

  备份文件和btmp文件存储在同一目录下,只是命名后面追加上备份创建日期而已。示例:

  小技巧:在Linux系统中填写路径时按Tab将会补全,如果无法补全说明有多个候选项,我们双击Tab将会列出全部候选项。

  复制

  1.  [root@iZuf /]# ls var/log/btmp

  2.  btmp btmp-20221101 

  例如上面的结果,我们如果要看btmp-20221101 里面的数据,就需要使用:lastb -f /var/log/btmp-20221101

  示例如下,查询上个月的非法登录的前10条记录:

  复制

  1.  [root@iZuf /]# lastb -f /var/log/btmp-20221101 -10

  2.  sine ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  3.  liu ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  4.  sine ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  5.  sine ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  6.  wjquan ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  7.  liu ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  8.  zkkj ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  9.  chenms ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  10.  mingjian ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  11.  mingjian ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

  如果非法登录的数据文件比较大,我们怎么进行查询呢?Linux可以针对数据进行筛选

  (2)统计ip登录次数

  恶意访问数据过多的时候,我们通过lastb直接阅读比较困难因为数据较大。这个时候我们就可以通过对查询结果进行筛选。

  例如:

  复制

  1.  [root@iZuf /]# lastb | awk '{ print $3}' | sort | uniq -c | sort -n

  2.  5 98.143.158.42

  3.  5368 143.244.137.83

  4.  5402 170.64.132.120

  5.  5522 170.64.132.128

  6.  6212 193.47.61.21

  上述显示结果,第一列ip地址的登录次数,第二列为ip地址。我们可以对登录过大的ip进行封禁操作。

  下面进行命令拆分介绍。在Linux中通过|符号对命令进行拆分。

  上述的命令其实就是:

  例如我们如果要查上一个月的非法登录次数统计:

  复制

  1.  [root@iZuf /]# lastb -f /var/log/btmp-20221101 | awk '{ print $3}' | sort | uniq -c | sort -n

  2.  51 157.230.21.85

  3.  4861 167.71.234.209

  4.  5038 143.244.141.68

  5.  5202 143.244.129.121

  6.  5262 167.71.226.83

  PS: 如果想高效控制和防范,那么使用防火墙可以说是最佳选择了。可以使用阿里云提供的云防火墙,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力。

  4、secure 日志

 

  相较于wtmp文件和btmp文件,secure日志就是一个文本。可以通过vim或者cat阅读。也可以导出到windows环境下使用VSCode或者文本文档等阅读。

  secure日志和wtmp和btmp文件一样,存储在var/log目录下。示例如下:

  复制

  1.  [root@iZuf /]# ls /var/log/secure

  2.  secure secure-20221030 secure-20221106 secure-20221113 secure-20221120 

  secure文件是按照每7天备份一次的频率,进行备份的。文档打开后的内容如下所示:

  复制

  1.  Nov 20 09:25:19 iZuf sshd[2322424]: error: kex_exchange_identification: banner line contains invalid characters

  2.  Nov 20 12:55:16 iZuf sshd[2323018]: error: kex_exchange_identification: Connection closed by remote host

  3.  Nov 20 12:58:27 iZuf sshd[2323024]: Invalid user amax from 170.64.132.120 port 47146

  4.  Nov 20 12:58:28 iZuf sshd[2323026]: Invalid user amax from 170.64.132.120 port 47158

  5.  Nov 20 12:58:28 iZuf sshd[2323024]: pam_unix(sshd:auth): check pass; user unknown

  6.  Nov 20 12:58:28 iZuf sshd[2323024]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

  7.  Nov 20 12:58:28 iZuf sshd[2323026]: pam_unix(sshd:auth): check pass; user unknown

  8.  Nov 20 12:58:28 iZuf sshd[2323026]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

  9.  Nov 20 12:58:28 iZuf sshd[2323028]: Invalid user amax from 170.64.132.120 port 47164

  10.  Nov 20 12:58:28 iZuf sshd[2323030]: Invalid user amax from 170.64.132.120 port 47178

  11.  Nov 20 12:58:28 iZuf sshd[2323028]: pam_unix(sshd:auth): check pass; user unknown

  12.  Nov 20 12:58:28 iZuf sshd[2323028]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

  13.  Nov 20 12:58:28 iZuf sshd[2323032]: Invalid user amax from 170.64.132.120 port 47188

  14.  Nov 20 12:58:29 iZuf sshd[2323030]: pam_unix(sshd:auth): check pass; user unknown

  15.  Nov 20 12:58:29 iZuf sshd[2323030]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

  16.  Nov 20 12:58:29 iZuf sshd[2323032]: pam_unix(sshd:auth): check pass; user unknown

  相较于wtmp和btmp一个记录成功的,一个记录失败的。secure日志记录整个登录过程的所有数据,不管成功还是失败都会进行记录。

  PS:由于secure日志属于文档类型的,那么登录成功后的非法登录它是可以比较方便的对secure文件进行篡改的。

  下面简单列一些出现的各种错误和成功日志:

  1.访问成功后的日志:Accepted password for root from 我的真实IP port 端口号 ssh2

  2.指令与端口不匹配: 修改了默认的SSH端口(22) 改为其他端口了。攻击者访问该端口时,命令和端口服务不匹配就会出现下面的错误日志记录。

  3.error: kex_exchange_identification: banner line contains invalid characters。

  4.ip地址为170.64.132.120 的主机尝试破解sshd登录:它使用了新的账户和密码进行验证。

  5.pam_unix(sshd:auth): check pass; user unknown

  6.pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120。

  7.提示来自于170.64.132.120 主机的端口 47146的请求,用户名无效。不允许操作:Invalid user amax from 170.64.132.120 port 47146。

  8.为正确用户开启root会话,也就是远程登录的命令输入界面:pam_unix(sshd:session): session opened for user root by (uid=0)。

  9.为用户关闭root会话 也就是命令行输入界面:pam_unix(sshd:session): session closed for user root。

  来自用户名jason的登录,密码和用户验证失败:Failed password for invalid user jason from 170.64.132.128 port 59676 ssh2。

  等等还有很多的命令日志。

  只要我们的服务器开启了SSH,那么这种攻击就会再所难免。我们需要

  1.修改默认的ssh的端口22改为其他的端口,可以提高安全性。

  2.root密码设置比较复杂的密码,并且保持更新。

  3.使用秘钥验证比密码验证安全性更高。

  4.使用防火墙屏蔽大量访问的ip。

  5.使用脚本,对攻击访问进行自动拉黑添加到屏蔽访问的文件中。

  5、总结

  只要将我们的服务器在公网环境公开,提供服务。就避免不了来自全球互联网上的各种攻击。大部分的攻击都是一些泛攻击,利用程序自动扫描并发起攻击而已。

  更多的针对的都是一些弱密码例如123456,admin等的自动攻击脚本。

  我们只需要给自己的服务器创建复杂程度高的密码,并保持一段时间的密码跟换。同时如果必须使用SSH登录就将默认端口22更换为其他端口。​​​​

  然后一段时间后,针对大量重复的ip地址进行封禁就可以了。

  来源: 今日头条

  >>>>>>点击进入系统运维专题

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-运维
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯