当前位置:首页 » 《我的小黑屋》 » 正文

操作系统安全:Linux安全审计,Linux日志详解

15 人参与  2024年04月27日 08:37  分类 : 《我的小黑屋》  评论

点击全文阅读


「作者简介」:2022年北京冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础对安全知识体系进行总结与归纳,著作适用于快速入门的 《网络安全自学教程》,内容涵盖系统安全、信息收集等12个知识域的一百多个知识点,持续更新。

操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求:

标识系统中的用户和进行身份鉴别。依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问。审计系统运行的安全性。保证系统自身的安全性和完整性。

安全审计就是用来实现这些需求的安全机制之一。

这一章节需要直到Linux通过哪些日志来做安全审计,日志的格式以及日志内容是什么意思。

Linux日志

audit.logboot.logbtmpcrondmesglastlogmaillogmessagessecurewtmp

Linux使用日志文件记录系统事件,实现安全审计,日志由syslog进程记录。

Linux日志存放在 /var/log/

audit/audit.log:系统内核、用户进程的行为日志boot.log:开机自检日志btmp:登录失败日志cron:计划任务日志dmesg:内核自检日志lastlog:最后一次登录日志maillog:邮件收发日志messages:内核和应用程序日志secure:系统安全日志wtmp:用户登录/退出、系统启停日志

日志很大,查看的时候太慢,可以使用grep、sed、awk命令查看日志。

audit.log

audit是Linux的审计日志,可以手动配置审计规则,需要启动 /sbin/auditd 进程。

ps -ef | grep auditd 查看进程状态。systemctl status auditdservice auditd status 查看服务状态。

使用 auditctl 配置审计规则。

auditctl -l 查看审计规则。auditctl -w /home/tom/ -k tom_audit 审计/home/tom/目录下的所有文件操作,标记为tom_audit关键字

使用 ausearch 查看审计日志。本质是搜索 /var/log/audit/audit.log.

ausearch -ui 0 根据用户uid搜索ausearch -p 1779 根据进程pid搜索ausearch -f /home/tom/text.txt 根据文件路径搜索

在这里插入图片描述

boot.log

记录系统在引导过程中发生的事件,也就是Linux系统开机自检过程显示的信息。

日志存放在 /var/log/boot.log

在这里插入图片描述

btmp

记录用户登录失败的信息,常用来排查爆破信息。

日志存放在/var/log/btmp ,是二进制文件,可以用lastb命令查看。

在这里插入图片描述
日志字段从左到右依次是:登录用户、登录方式、登录源IP、登录时间。

lastb | awk '{print $3}' |sort| uniq -c | sort -n 过滤IP登录次数

cron

cron是计划任务日志,需要启动 /usr/sbin/crond 进程

ps -ef | grep crond 查看进程状态systemctl status crondservice crond status 查看服务状态

使用 crontab 配置计划任务。

crontab -l 查看计划任务crontab -e 编辑计划任务,本质上是在 /var/spool/cron/root文件中写计划任务。crontab -r 清空计划任务,如果只删除某条计划任务,用crontab -e手动删除。

计划任务日志存放在 /var/log/cron ,可以直接查看。

在这里插入图片描述

日志类型重点看两种:

CROND 表示执行了计划任务crontab 表示配置了计划任务

Apr 20 20:09:01 bogon CROND[3388]: (root) CMD (echo date >> /root/text.txt)

(root):执行计划任务的用户是rootCMD (echo date >> /root/text.txt):计划任务执行的内容。在这里插入图片描述

Apr 20 20:09:29 bogon crontab[3391]: (root) LIST (root)

(root) LIST (root):root用户查看了计划任务,也就是root用户执行了crontab -l。其他crontab类型的日志含义也是类似的逻辑。

root用户修改了计划任务,REPLACE表示计划任务被替换了。

在这里插入图片描述

root用户编辑了计划任务,但没修改。

在这里插入图片描述

dmesg

记录Linux内核日志,包括引导信息、硬件检测、设备驱动程序和系统错误等,用来追踪系统启动过程中的事件,排查故障和问题。

dmesg 查看内核日志,本质上是查看 /var/log/dmesg 文件。

dmesg | grep error 过滤错误日志。

在这里插入图片描述

lastlog

记录所有用户的最后一次登录信息,本质上是读取 /var/log/lastlog

在这里插入图片描述
字段解析:

Username:用户名Port:端口,或者叫登录方式,pts表示伪终端,比如用xshell远程连接;tty表示串口终端,比如本地登录或用显示器登录。From:登录使用的源IPLastest:最近的登录时间。Never logged in 表示从未登录过。

lastlog -u root 查看指定用户的最后登录信息

maillog

记录邮件日志,比如收发邮件。日志保存在 /var/log/maillog

在这里插入图片描述

messages

记录系统操作和事件,用来监控和调试系统运行情况,日志保存在 /var/log/messages

在这里插入图片描述
字段从左到右依次是:时间、主机名、服务/进程名、进程PID、日志信息。

secure

记录系统安全日志,比如SSH登录、sudo使用等信息,日志保存在 /var/log/secure

在这里插入图片描述

字段从左到右依次是:时间、主机名、服务/进程名、进程PID、日志信息。

wtmp

记录用户登录/推出和系统开机日志。

使用 last 查看日志,本质上是读取 /var/log/wtmp

在这里插入图片描述

从左到右字段依次是:用户名、登录方式(pts远程,tty本地)、登录的源IP、登录/退出时间。


点击全文阅读


本文链接:http://zhangshiyu.com/post/100860.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1