1. 从登录日志看系统安全每次打开Linux系统的/var/log/secure文件就像翻开一本系统安全的日记本。这个不起眼的日志文件记录了所有用户登录尝试的详细信息特别是那些失败的登录记录往往隐藏着系统安全的重要线索。作为系统管理员我经常需要分析这些日志来排查问题今天就来聊聊最常见的几种登录异常返回值。secure日志的特别之处在于它记录了所有与系统安全相关的事件特别是通过SSH、sudo、su等方式进行的身份验证。不同于普通系统日志这里的每一条记录都可能关系到系统安全。记得有次凌晨三点被报警叫醒就是因为secure日志里突然出现大量异常登录尝试后来发现是有人在暴力破解测试服务器的密码。2. 常见登录返回值解析2.1 密码验证成功记录看到accepted password这条记录时通常表示一次成功的密码验证。格式一般是这样的May 15 09:23:45 localhost sshd[1234]: Accepted password for user1 from 192.168.1.100 port 54321 ssh2这条记录包含几个关键信息时间戳、服务名称(sshd)、进程ID、用户名、来源IP和端口。正常情况下这类记录不会引起警觉但如果出现以下情况就需要特别注意非工作时间出现大量成功登录记录来自异常地理位置的IP地址普通用户账户突然获得root权限同一个账户短时间内从不同IP登录我曾经遇到过这样的情况一个开发人员的账户在凌晨2点从国外IP成功登录而这位同事当时正在国内休假。后来发现他的账户密码太简单被暴力破解了。这就是为什么我们要定期检查secure日志即使看到的是成功记录也不能掉以轻心。2.2 密码验证失败记录Failed password可能是secure日志中最常见的错误了格式通常如下May 15 09:25:30 localhost sshd[5678]: Failed password for invalid user hacker from 192.168.1.200 port 12345 ssh2这条记录告诉我们有人尝试用不存在的用户名hacker登录失败。更危险的情况是使用真实用户名但密码错误May 15 09:26:15 localhost sshd[5679]: Failed password for user1 from 192.168.1.200 port 12346 ssh2遇到这种情况我通常会采取以下步骤确认是否是用户本人操作失误检查失败尝试的频率和来源IP如果怀疑是暴力破解立即采取防护措施去年我们有个服务器就遭遇了持续暴力破解攻击攻击者每秒钟尝试几十次不同密码。通过分析secure日志我们很快锁定了攻击源IP并通过iptables进行了封堵。2.3 多次密码错误记录当连续多次密码错误时日志中会出现类似这样的记录May 15 09:30:00 localhost sshd[8910]: error: maximum authentication attempts exceeded for user1 from 192.168.1.200 port 12347 ssh2 [preauth]这表示系统检测到多次失败的登录尝试触发了保护机制。在默认配置下SSH服务允许最多6次密码尝试。要调整这个设置可以修改/etc/ssh/sshd_config文件MaxAuthTries 3将值改为3表示只允许3次尝试。修改后需要重启SSH服务生效systemctl restart sshd3. 身份验证相关问题3.1 认证失败通用错误authentication failure是一个比较通用的认证错误可能由多种原因引起May 15 10:00:00 localhost sshd[3456]: authentication failure; logname uid0 euid0 ttyssh ruser rhost192.168.1.300这类错误可能的原因包括用户名不存在密码错误账户被锁定PAM认证模块配置问题排查这类问题时我通常会确认用户名拼写是否正确检查/etc/shadow文件中该账户的状态查看/etc/pam.d/sshd配置文件检查磁盘空间和系统资源是否充足3.2 PAM认证模块错误更专业的PAM认证错误通常会明确标注模块名称May 15 10:30:00 localhost sshd[4567]: pam_unix(sshd:auth): authentication failure; logname uid0 euid0 ttyssh ruser rhost192.168.1.400这类错误表明问题出在PAM的unix认证模块。PAM(Pluggable Authentication Modules)是Linux系统的认证框架通过/etc/pam.d/目录下的配置文件管理各种认证方式。遇到这种错误时我会检查/etc/pam.d/sshd文件配置确认/etc/nsswitch.conf配置正确查看系统日志中是否有相关错误测试本地登录是否正常4. 账户与密码状态问题4.1 密码过期提示当用户密码过期时secure日志会记录May 15 11:00:00 localhost sshd[5678]: pam_unix(sshd:auth): password expired for user1要检查用户密码过期信息可以使用chage -l user1输出示例Last password change : May 01, 2023 Password expires : May 15, 2023 Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 14 Number of days of warning before password expires : 7要修改密码过期策略可以使用chage -M 90 user1 # 设置密码90天后过期 chage -d $(date %F) user1 # 重置密码计时4.2 账户被锁定记录当账户因多次失败尝试被锁定时日志会显示May 15 11:30:00 localhost sshd[6789]: pam_tally2(sshd:auth): user user1 (1001) tally 5, deny 3要查看当前失败计数pam_tally2 --useruser1解锁账户命令pam_tally2 --useruser1 --reset5. 连接与权限问题5.1 认证关闭连接connection closed by authentic错误通常表示认证过程被意外终止May 15 12:00:00 localhost sshd[7890]: Connection closed by authenticating user user1 192.168.1.500 port 54321 [preauth]可能原因包括客户端超时断开网络中断服务器资源不足SSH配置限制排查方法检查客户端和服务器网络连接查看系统资源使用情况检查SSH超时设置5.2 权限不足问题有时认证失败是因为权限问题May 15 12:30:00 localhost sshd[8901]: User user1 not allowed because account is locked这类问题需要检查/etc/passwd和/etc/shadow中的账户状态/etc/security/access.conf限制PAM模块配置6. 日志分析实战技巧6.1 常用日志分析命令分析secure日志的几个实用命令统计失败登录尝试grep Failed password /var/log/secure | awk {print $9} | sort | uniq -c | sort -nr查看最近的成功登录grep Accepted password /var/log/secure | tail -20查找可疑IPgrep Failed password /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr6.2 自动化监控脚本可以创建简单的监控脚本#!/bin/bash LOG_FILE/var/log/secure TEMP_FILE/tmp/secure_analysis.tmp REPORT_FILE/root/secure_report_$(date %F).txt # 分析失败登录 grep Failed password $LOG_FILE $TEMP_FILE echo Failed Login Report $REPORT_FILE echo Total failed attempts: $(wc -l $TEMP_FILE) $REPORT_FILE echo $REPORT_FILE echo Top usernames with failed attempts: $REPORT_FILE awk {print $9} $TEMP_FILE | sort | uniq -c | sort -nr $REPORT_FILE echo $REPORT_FILE echo Top source IPs with failed attempts: $REPORT_FILE awk {print $11} $TEMP_FILE | sort | uniq -c | sort -nr $REPORT_FILE rm $TEMP_FILE设置cron任务每天运行0 3 * * * /path/to/script.sh7. 安全加固建议7.1 SSH安全配置建议修改/etc/ssh/sshd_config中的这些参数PermitRootLogin no PasswordAuthentication no # 使用密钥认证 UsePAM yes AllowUsers user1 user2 # 只允许特定用户 DenyUsers baduser LoginGraceTime 1m MaxAuthTries 3修改后重启SSH服务systemctl restart sshd7.2 账户安全策略设置强密码策略# /etc/login.defs PASS_MAX_DAYS 90 PASS_MIN_DAYS 1 PASS_MIN_LEN 8 PASS_WARN_AGE 7安装fail2ban防止暴力破解yum install fail2ban # CentOS apt install fail2ban # Ubuntu配置/etc/fail2ban/jail.local[sshd] enabled true maxretry 3 bantime 1h8. 高级日志分析工具8.1 使用LogwatchLogwatch是分析系统日志的实用工具yum install logwatch # CentOS apt install logwatch # Ubuntu配置/etc/logwatch/conf/logwatch.confOutput mail Format html MailTo adminexample.com Range yesterday Detail High8.2 ELK日志分析系统对于大型环境可以部署ELK(Elasticsearch, Logstash, Kibana)栈安装Java环境安装并配置Elasticsearch安装Logstash并配置secure日志收集安装Kibana进行可视化基本Logstash配置示例input { file { path /var/log/secure type secure } } filter { grok { match { message %{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} %{DATA:program}(?:\[%{POSINT:pid}\])?: %{GREEDYDATA:message} } } } output { elasticsearch { hosts [localhost:9200] } }分析secure日志是每个Linux系统管理员的必备技能。从个人经验来看养成定期检查日志的习惯往往能在小问题变成大麻烦之前及时发现并解决。特别是在云环境里服务器暴露在公网上安全日志就是我们的第一道防线。