Ubuntu日志中的安全信息通常记录在/var/log/auth.log文件中。这个文件包含了关于系统认证和授权的详细信息,包括用户登录、SSH连接、sudo命令使用等。以下是一些常见的安全信息及其解读方法:
成功登录:
Jun 1 08:12:34 hostname sshd[1234]: Accepted password for username from 192.168.1.5 port 54321 ssh2
解读:用户username在IP地址192.168.1.5上成功通过SSH登录。
失败登录:
Jun 1 08:13:45 hostname sshd[1235]: Failed password for username from 192.168.1.6 port 54322 ssh2
解读:用户username在IP地址192.168.1.6上尝试登录失败。
新连接:
Jun 1 08:14:56 hostname sshd[1236]: New connection from 192.168.1.7 port 54323.
解读:来自IP地址192.168.1.7的新SSH连接。
连接关闭:
Jun 1 08:15:01 hostname sshd[1236]: Connection closed by invalid user username 192.168.1.7 port 54323 [preauth]
解读:用户username在IP地址192.168.1.7上的连接被关闭,因为认证失败。
成功执行:
Jun 1 08:16:10 hostname sudo: username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/usr/bin/apt update
解读:用户username在终端pts/0上成功执行了sudo apt update命令。
失败执行:
Jun 1 08:16:15 hostname sudo: username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/usr/bin/apt update : FAILED
解读:用户username在终端pts/0上尝试执行sudo apt update命令失败。
账户锁定:
Jun 1 08:17:20 hostname pam_unix[1237]: session opened for user username by (uid=0)
Jun 1 08:17:25 hostname pam_unix[1237]: session closed for user username
Jun 1 08:17:30 hostname pam_tally2[1238]: user username: 5 failed login attempts; 5 locked
解读:用户username在短时间内多次登录失败,账户被锁定。
账户解锁:
Jun 1 08:18:00 hostname pam_tally2[1238]: user username: unlock account
解读:用户username的账户被解锁。
你可以使用以下命令查看和分析auth.log文件:
实时查看:
sudo tail -f /var/log/auth.log
搜索特定事件:
sudo grep "Failed password" /var/log/auth.log
统计信息:
sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr
这个命令会统计每个IP地址的失败登录尝试次数。
通过定期检查和分析这些日志,你可以及时发现并应对潜在的安全威胁。
