CentOS dmesg日志中的常見安全信息類型及示例
1. 登錄認證相關信息
dmesg會記錄用戶登錄系統的嘗試信息��,包括成功與失敗的嘗試�,是識別未經授權訪問的重要線索���。
- 失敗登錄嘗試:常見于SSH服務日志�,格式為
sshd[進程ID]: Failed password for [用戶名] from [IP地址]�,例如sshd[12345]: Failed password for invalid user testuser from 192.168.1.1�,提示某IP地址的某用戶嘗試用錯誤密碼登錄系統��。
- 權限不足提示:當用戶執行需要更高權限的操作時�,可能記錄
Permission denied信息�,例如普通用戶嘗試修改系統關鍵文件時的拒絕提示���。
2. 認證模塊失敗事件
PAM(可插拔認證模塊)是Linux系統認證的核心組件��,其失敗事件會被內核記錄�,可能暗示攻擊者正在嘗試破解密碼或濫用認證機制����。
- 典型示例:
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1����,表示SSH認證失敗����,需結合多次失敗記錄判斷是否為暴力破解��。
3. SELinux拒絕訪問記錄
SELinux(安全增強型Linux)通過強制訪問控制(MAC)限制進程權限�,其拒絕訪問的事件會被內核記錄����,有助于發現潛在的安全違規����。
- 典型示例:
audit(時間戳): AVC apparmor="DENIED" operation="open" profile="usr.sbin.httpd" name="/etc/httpd/conf/httpd.conf" pid=進程ID comm="httpd"��,表示Apache進程(httpd)試圖訪問/etc/httpd/conf/httpd.conf文件但被SELinux拒絕����,需檢查SELinux策略是否合理���。
4. 防火墻規則變更通知
防火墻(如iptables/nftables)規則的動態修改可能影響系統安全策略�,dmesg會記錄規則的添加����、刪除或修改操作��。
- 典型示例:
iptables: Adding rule INPUT -p tcp --dport 22 -j ACCEPT���,表示添加了一條允許TCP端口22(SSH)入站的規則����,若此操作非管理員手動執行�����,可能存在惡意修改防火墻策略的風險��。
5. 用戶/組賬戶變更事件
用戶或組的創建�����、刪除����、權限修改等操作會被內核記錄�����,異常的賬戶變更可能是惡意活動的跡象(如創建隱藏賬戶)��。
- 典型示例:
useradd newuser(新增用戶)��、groupmod -g 0 attackers(將attackers組的GID改為0�,獲得root權限)���、chmod 777 /etc/passwd(修改passwd文件權限為全局可寫)����,這些操作均會在dmesg中留下痕跡�����。
6. 內核級安全策略警告
內核運行時會檢測到違反安全策略的行為(如非法系統調用�、驅動程序異常)���,并通過dmesg發出警告���。
- 典型示例:
kernel: [時間戳] general protection fault: 0000 [#1] SMP���,表示發生了通用保護故障�,可能是驅動程序或內核模塊的bug導致的�����,需警惕惡意代碼利用漏洞�;kernel: [時間戳] stack trace: ...���,伴隨堆棧跟蹤信息��,幫助定位觸發安全策略的具體原因��。
7. 驅動/硬件相關安全風險
驅動程序或硬件故障可能引發安全問題(如硬件漏洞���、驅動越界訪問)�,dmesg會記錄相關錯誤�����。
- 典型示例:
usb 1-1: device descriptor read/64, error -110�����,表示USB設備通信錯誤����,可能是硬件故障或惡意USB設備(如BadUSB)導致的�;drm:drm_edid_block_valid: EDID checksum is invalid���,表示顯示器EDID校驗失敗���,可能被篡改以實施視覺攻擊��。
