前言在上一篇《Linux 系统服务安全》中我们完成了服务加固、防火墙配置、权限管控等基础防护。但只做防护不做审计等于没有防护—— 服务器一旦被入侵日志是唯一能还原攻击路径、定位入侵点的关键。本文作为续篇实战聚焦 Linux 日志审计核心日志位置、关键日志解读、异常排查命令、自动化监控方案从零到一教会你看懂日志、发现入侵、快速溯源适合运维、网安、渗透测试爱好者学习。一、Linux 日志体系必须掌握的核心日志文件Linux 系统日志默认存放在/var/log/目录不同发行版CentOS/Ubuntu路径基本一致以下是入侵排查必看日志1. 系统核心日志表格日志文件作用适用系统/var/log/messages系统全局日志服务启动、报错、内核信息CentOS/RHEL/var/log/syslog系统全局日志替代 messagesUbuntu/Debian/var/log/dmesg内核启动与硬件相关日志全发行版/var/log/secureSSH 登录、用户认证、sudo 操作重点CentOS/RHEL/var/log/auth.logSSH 登录、用户认证、sudo 操作重点Ubuntu/Debian2. 应用服务日志Nginx/Apache/var/log/nginx/access.log 访问日志、error.log 错误日志MySQL/var/log/mysqld.log或/var/log/mysql/定时任务/var/log/cron排查挖矿、恶意定时任务必备入侵排查优先级认证日志 (secure/auth.log) 系统日志 Web 服务日志 定时任务日志二、日志审计必备命令高效排查入侵不用记复杂指令掌握以下5 条高频命令即可完成 90% 的日志审计工作1. 实时监控日志最常用bash运行# 实时查看SSH认证日志Ubuntu tail -f /var/log/auth.log # 实时查看系统全局日志CentOS tail -f /var/log/messages作用实时观测登录、服务运行状态发现异常立即处理。2. 筛选关键字定位入侵行为bash运行# 查看所有失败的SSH登录暴力破解 grep Failed password /var/log/auth.log # 查看所有成功登录的IP grep Accepted /var/log/auth.log # 查看sudo提权操作排查越权 grep sudo /var/log/auth.log3. 统计恶意 IP定位扫描 / 爆破源bash运行# 统计SSH失败登录IP排行 grep Failed password /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr输出结果中次数多的 IP 即为暴力破解源直接封禁。4. 查看历史登录记录快速溯源bash运行# 查看当前登录用户 w # 查看所有历史登录记录 last # 查看失败登录记录 lastb5. 查看定时任务日志排查挖矿木马bash运行# 查看定时任务执行记录 cat /var/log/cron # 查看所有用户定时任务 crontab -l for user in $(cat /etc/passwd | cut -f1 -d:);do crontab -u $user -l;done挖矿木马最爱写入定时任务出现未知 curl、wget、bash 脚本直接判定入侵。三、实战从日志中发现 3 类典型入侵行为1. SSH 暴力破解最常见日志特征大量Failed password 不同 IP / 相同 IP 频繁尝试。plaintextMar 20 10:12:33 ubuntu sshd[1234]: Failed password for root from 192.168.222.130 port 52345 ssh2 Mar 20 10:12:35 ubuntu sshd[1235]: Failed password for admin from 192.168.222.130 port 52346 ssh2处理方案使用ufw deny from 192.168.222.130封禁 IP部署fail2ban自动封禁后文讲解2. 异地 / 异常用户登录日志特征出现陌生用户名、陌生 IP 成功登录Accepted。plaintextMar 20 11:05:22 ubuntu sshd[5678]: Accepted password for hacker from 103.23.101.xx port 48882 ssh2处理方案立即断开该用户连接pkill -u hacker删除恶意用户userdel -r hacker检查系统是否被植入后门3. Web 漏洞攻击SQL 注入 / 文件上传查看 Nginx 访问日志bash运行grep -E union|select|upload|php /var/log/nginx/access.log日志特征出现union select、../跨目录、eval等恶意字符。处理方案修复 Web 漏洞、配置 WAF、清理上传木马。四、自动化加固安装 Fail2ban 自动防御暴力破解手动看日志效率太低Fail2ban是 Linux 必备的日志审计 自动防护工具能实时监控日志自动封禁恶意 IP。1. 安装与启用bash运行# Ubuntu/Debian apt install fail2ban -y # CentOS/RHEL yum install fail2ban -y # 启动并开机自启 systemctl start fail2ban systemctl enable fail2ban2. 基础配置SSH 防护bash运行# 复制配置文件 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local # 编辑配置 nano /etc/fail2ban/jail.local修改以下参数优化防护强度inibantime 86400 # 封禁时间1天 findtime 60 # 1分钟内 maxretry 3 # 失败3次则封禁3. 重启生效bash运行systemctl restart fail2ban # 查看封禁状态 fail2ban-client status sshd配置完成后暴力破解 IP 会被自动拉黑无需人工干预。五、日志审计最佳实践定期巡检每天查看认证日志与系统日志形成习惯日志留存重要服务器配置日志远程备份rsyslog防止入侵者删除日志最小权限普通用户无权查看 /var/log/secure 等敏感日志告警通知结合邮件、企业微信机器人实现异常登录实时告警不裸奔所有服务器必须部署 Fail2ban 防火墙双重防护六、总结Linux 安全是 **「防护 审计」** 的闭环上一篇我们做了服务安全加固堵漏洞本篇我们完成了日志审计与入侵排查找问题日志不是冰冷的文本而是服务器的黑匣子—— 学会看懂日志你就能在入侵发生的第一时间发现、阻断、溯源真正掌握服务器安全主动权。本文配套上一篇《Linux 系统服务安全》食用效果更佳建议收藏两篇反复练习下期预告《Linux 后门排查与木马清除实战》教你一键排查隐藏账号、开机自启后门、端口监听、挖矿木马敬请关注 作者简介专注Linux 运维 / 网络安全 / 渗透测试持续分享干货实战教程点赞 收藏 关注技术路上不迷路
Linux 日志审计实战:快速发现入侵痕迹,打造服务器监控体系本文接上一篇:Linux 系统服务安全:从入门到实战,守护你的服务器安全
前言在上一篇《Linux 系统服务安全》中我们完成了服务加固、防火墙配置、权限管控等基础防护。但只做防护不做审计等于没有防护—— 服务器一旦被入侵日志是唯一能还原攻击路径、定位入侵点的关键。本文作为续篇实战聚焦 Linux 日志审计核心日志位置、关键日志解读、异常排查命令、自动化监控方案从零到一教会你看懂日志、发现入侵、快速溯源适合运维、网安、渗透测试爱好者学习。一、Linux 日志体系必须掌握的核心日志文件Linux 系统日志默认存放在/var/log/目录不同发行版CentOS/Ubuntu路径基本一致以下是入侵排查必看日志1. 系统核心日志表格日志文件作用适用系统/var/log/messages系统全局日志服务启动、报错、内核信息CentOS/RHEL/var/log/syslog系统全局日志替代 messagesUbuntu/Debian/var/log/dmesg内核启动与硬件相关日志全发行版/var/log/secureSSH 登录、用户认证、sudo 操作重点CentOS/RHEL/var/log/auth.logSSH 登录、用户认证、sudo 操作重点Ubuntu/Debian2. 应用服务日志Nginx/Apache/var/log/nginx/access.log 访问日志、error.log 错误日志MySQL/var/log/mysqld.log或/var/log/mysql/定时任务/var/log/cron排查挖矿、恶意定时任务必备入侵排查优先级认证日志 (secure/auth.log) 系统日志 Web 服务日志 定时任务日志二、日志审计必备命令高效排查入侵不用记复杂指令掌握以下5 条高频命令即可完成 90% 的日志审计工作1. 实时监控日志最常用bash运行# 实时查看SSH认证日志Ubuntu tail -f /var/log/auth.log # 实时查看系统全局日志CentOS tail -f /var/log/messages作用实时观测登录、服务运行状态发现异常立即处理。2. 筛选关键字定位入侵行为bash运行# 查看所有失败的SSH登录暴力破解 grep Failed password /var/log/auth.log # 查看所有成功登录的IP grep Accepted /var/log/auth.log # 查看sudo提权操作排查越权 grep sudo /var/log/auth.log3. 统计恶意 IP定位扫描 / 爆破源bash运行# 统计SSH失败登录IP排行 grep Failed password /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr输出结果中次数多的 IP 即为暴力破解源直接封禁。4. 查看历史登录记录快速溯源bash运行# 查看当前登录用户 w # 查看所有历史登录记录 last # 查看失败登录记录 lastb5. 查看定时任务日志排查挖矿木马bash运行# 查看定时任务执行记录 cat /var/log/cron # 查看所有用户定时任务 crontab -l for user in $(cat /etc/passwd | cut -f1 -d:);do crontab -u $user -l;done挖矿木马最爱写入定时任务出现未知 curl、wget、bash 脚本直接判定入侵。三、实战从日志中发现 3 类典型入侵行为1. SSH 暴力破解最常见日志特征大量Failed password 不同 IP / 相同 IP 频繁尝试。plaintextMar 20 10:12:33 ubuntu sshd[1234]: Failed password for root from 192.168.222.130 port 52345 ssh2 Mar 20 10:12:35 ubuntu sshd[1235]: Failed password for admin from 192.168.222.130 port 52346 ssh2处理方案使用ufw deny from 192.168.222.130封禁 IP部署fail2ban自动封禁后文讲解2. 异地 / 异常用户登录日志特征出现陌生用户名、陌生 IP 成功登录Accepted。plaintextMar 20 11:05:22 ubuntu sshd[5678]: Accepted password for hacker from 103.23.101.xx port 48882 ssh2处理方案立即断开该用户连接pkill -u hacker删除恶意用户userdel -r hacker检查系统是否被植入后门3. Web 漏洞攻击SQL 注入 / 文件上传查看 Nginx 访问日志bash运行grep -E union|select|upload|php /var/log/nginx/access.log日志特征出现union select、../跨目录、eval等恶意字符。处理方案修复 Web 漏洞、配置 WAF、清理上传木马。四、自动化加固安装 Fail2ban 自动防御暴力破解手动看日志效率太低Fail2ban是 Linux 必备的日志审计 自动防护工具能实时监控日志自动封禁恶意 IP。1. 安装与启用bash运行# Ubuntu/Debian apt install fail2ban -y # CentOS/RHEL yum install fail2ban -y # 启动并开机自启 systemctl start fail2ban systemctl enable fail2ban2. 基础配置SSH 防护bash运行# 复制配置文件 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local # 编辑配置 nano /etc/fail2ban/jail.local修改以下参数优化防护强度inibantime 86400 # 封禁时间1天 findtime 60 # 1分钟内 maxretry 3 # 失败3次则封禁3. 重启生效bash运行systemctl restart fail2ban # 查看封禁状态 fail2ban-client status sshd配置完成后暴力破解 IP 会被自动拉黑无需人工干预。五、日志审计最佳实践定期巡检每天查看认证日志与系统日志形成习惯日志留存重要服务器配置日志远程备份rsyslog防止入侵者删除日志最小权限普通用户无权查看 /var/log/secure 等敏感日志告警通知结合邮件、企业微信机器人实现异常登录实时告警不裸奔所有服务器必须部署 Fail2ban 防火墙双重防护六、总结Linux 安全是 **「防护 审计」** 的闭环上一篇我们做了服务安全加固堵漏洞本篇我们完成了日志审计与入侵排查找问题日志不是冰冷的文本而是服务器的黑匣子—— 学会看懂日志你就能在入侵发生的第一时间发现、阻断、溯源真正掌握服务器安全主动权。本文配套上一篇《Linux 系统服务安全》食用效果更佳建议收藏两篇反复练习下期预告《Linux 后门排查与木马清除实战》教你一键排查隐藏账号、开机自启后门、端口监听、挖矿木马敬请关注 作者简介专注Linux 运维 / 网络安全 / 渗透测试持续分享干货实战教程点赞 收藏 关注技术路上不迷路
