本文主要是介绍/var/log/secure安全日志分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1、tail -f /var/log/secure 看安全日志判断是否有人恶意攻击服务器
1.1 表示root用户关闭了会话(也就是关闭了终端)
xxx sshd: pam_unix(sshd:session): session closed for user root
1.2 表示接受来自14.23.168.10的root用户的公钥登录
xxx sshd: Accepted publickey for root from 14.23.168.10 port 36637 ssh2
1.3 表示给root用户打开一个终端
xxx sshd: pam_unix(sshd:session): session opened for user root by (uid=0)
1.4 表示已经连着的终端主动断开连接,并关闭终端
xxx sshd[9913]: Received disconnect from 183.60.122.237: 11: disconnected by user
xxx sshd[9913]: pam_unix(sshd:session): session closed for user root
1.5 无效的用户redis来连接说明
#表示对端使用无效的用户redis来连接
Xxx sshd[31261]: Invalid user redis from 45.115.45.3 port 33274
#本机对redis用户进行认证,认证失败,发送错误信号给对端
xxx sshd[31261]: input_userauth_request: invalid user redis [preauth]
# 对端接收到错误信号主动断开连接
xxx sshd[31261]: Received disconnect from 45.115.45.3 port 33274:11: Bye Bye [preauth]
# 连接关闭
xxx sshd[31261]: Disconnected from 45.115.45.3 port 33274 [preauth]
2、/var/log/secure不再写入记录解决方法
2.1 systemctl restart sshd 重启sshd服务
2.2 service syslog restart
如果,电脑上没有syslog服务,只把sshd重启不起作用,请使用 chkconfig --list | grep sys 显示有rsyslog服务,用service rsyslog restart重启服务即可。
这篇关于/var/log/secure安全日志分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
