1. 定位關鍵安全日志文件
Debian系統中�����,安全事件日志集中存儲在/var/log目錄下����,核心文件包括:
/var/log/auth.log:記錄認證與授權事件(如登錄嘗試��、sudo/su命令使用�、SSH連接)��,是追蹤非法訪問的主要來源���;/var/log/syslog//var/log/messages:記錄系統級通用日志(如內核消息��、服務啟動/停止����、權限變更)��;/var/log/kern.log:記錄內核相關事件(如硬件異常��、驅動加載����、防火墻攔截)����;/var/log/dpkg.log:記錄軟件包安裝�、升級�、刪除操作�,用于追蹤系統變更����。
2. 使用系統自帶工具查看與過濾日志
journalctl(systemd日志管理工具):可通過時間����、優先級���、服務名等條件過濾日志����。例如����,查看過去1小時內sshd服務的日志:sudo journalctl -u sshd --since "1 hour ago"
查找緊急級別(emerg)以上的日志:sudo journalctl -p emerg
- 文本處理命令:用
grep篩選關鍵詞(如“Failed password”“Accepted”)�,less分頁查看大日志文件���。例如��,統計auth.log中失敗登錄次數:grep "Failed password" /var/log/auth.log | wc -l
查看特定IP(如192.168.1.100)的登錄記錄:grep "192.168.1.100" /var/log/auth.log
```����。
3. 配置審計工具(auditd)追蹤詳細事件
auditd是Linux審計系統的核心工具���,可記錄細粒度的系統操作(如文件訪問����、權限變更��、用戶命令)�。
4. 利用日志分析工具自動化識別威脅
5. 定期審查與響應安全事件
- 定期檢查日志:通過
cron設置每日自動審查腳本(如檢查失敗登錄次數超過閾值時發送警報):#!/bin/bash
LOG_FILE="/var/log/auth.log"
THRESHOLD=5
FAILED_LOGINS=$(grep "Failed password" $LOG_FILE | wc -l)
if [ $FAILED_LOGINS -gt $THRESHOLD ]; then
echo "Alert: $FAILED_LOGINS failed login attempts detected!" | mail -s "Security Alert" admin@example.com
fi
- 日志輪轉:配置
logrotate防止日志文件過大(默認規則位于/etc/logrotate.conf��,自定義規則可放在/etc/logrotate.d/)�����。例如�,限制auth.log保留7天�,壓縮舊日志:/var/log/auth.log {
daily
rotate 7
compress
missingok
notifempty
}
- 事件響應:發現異常后��,立即隔離受影響系統(如斷開網絡)�、分析攻擊路徑(如通過
auditd日志追蹤惡意進程)��、修復漏洞(如更新軟件包)�、恢復數據�����。
