Debian日志中的安全信息主要包括以下几类:
- 认证与授权信息:记录用户登录、注销、sudo命令使用、权限变更等,如成功/失败登录尝试、SSH连接记录。
- 安全事件:包括防火墙规则更改、SELinux策略调整、恶意软件活动等。
- 系统异常与漏洞利用迹象:如内核错误、服务异常、异常系统调用等,可能提示漏洞被利用。
- 访问日志:记录用户对系统资源的访问情况,用于审计和监控。
- 安全更新与补丁信息:记录系统安全补丁的安装情况。
这些信息主要存储在/var/log目录下的auth.log、syslog、kern.log等文件中。
