Linux 日志审计实战:快速发现入侵痕迹,打造服务器监控体系本文接上一篇:Linux 系统服务安全:从入门到实战,守护你的服务器安全
前言
在上一篇《Linux 系统服务安全》中,我们完成了服务加固、防火墙配置、权限管控等基础防护。但只做防护不做审计,等于没有防护—— 服务器一旦被入侵,日志是唯一能还原攻击路径、定位入侵点的关键。
本文作为续篇实战,聚焦 Linux 日志审计核心:日志位置、关键日志解读、异常排查命令、自动化监控方案,从零到一教会你看懂日志、发现入侵、快速溯源,适合运维、网安、渗透测试爱好者学习。
一、Linux 日志体系:必须掌握的核心日志文件
Linux 系统日志默认存放在/var/log/目录,不同发行版(CentOS/Ubuntu)路径基本一致,以下是入侵排查必看日志:
1. 系统核心日志
表格
| 日志文件 | 作用 | 适用系统 |
|---|---|---|
| /var/log/messages | 系统全局日志(服务启动、报错、内核信息) | CentOS/RHEL |
| /var/log/syslog | 系统全局日志(替代 messages) | Ubuntu/Debian |
| /var/log/dmesg | 内核启动与硬件相关日志 | 全发行版 |
| /var/log/secure | SSH 登录、用户认证、sudo 操作(重点) | CentOS/RHEL |
| /var/log/auth.log | SSH 登录、用户认证、sudo 操作(重点) | Ubuntu/Debian |
2. 应用服务日志
- Nginx/Apache:
/var/log/nginx/(access.log 访问日志、error.log 错误日志) - MySQL:
/var/log/mysqld.log或/var/log/mysql/ - 定时任务:
/var/log/cron(排查挖矿、恶意定时任务必备)
入侵排查优先级:认证日志 (secure/auth.log) > 系统日志 > Web 服务日志 > 定时任务日志
二、日志审计必备命令:高效排查入侵
不用记复杂指令,掌握以下5 条高频命令,即可完成 90% 的日志审计工作:
1. 实时监控日志(最常用)
bash
运行
# 实时查看SSH认证日志(Ubuntu) tail -f /var/log/auth.log # 实时查看系统全局日志(CentOS) tail -f /var/log/messages作用:实时观测登录、服务运行状态,发现异常立即处理。
2. 筛选关键字(定位入侵行为)
bash
运行
# 查看所有失败的SSH登录(暴力破解) grep "Failed password" /var/log/auth.log # 查看所有成功登录的IP grep "Accepted" /var/log/auth.log # 查看sudo提权操作(排查越权) grep "sudo" /var/log/auth.log3. 统计恶意 IP(定位扫描 / 爆破源)
bash
运行
# 统计SSH失败登录IP排行 grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr输出结果中,次数多的 IP 即为暴力破解源,直接封禁。
4. 查看历史登录记录(快速溯源)
bash
运行
# 查看当前登录用户 w # 查看所有历史登录记录 last # 查看失败登录记录 lastb5. 查看定时任务日志(排查挖矿木马)
bash
运行
# 查看定时任务执行记录 cat /var/log/cron # 查看所有用户定时任务 crontab -l for user in $(cat /etc/passwd | cut -f1 -d:);do crontab -u $user -l;done挖矿木马最爱写入定时任务,出现未知 curl、wget、bash 脚本,直接判定入侵。
三、实战:从日志中发现 3 类典型入侵行为
1. SSH 暴力破解(最常见)
日志特征:大量Failed password+ 不同 IP / 相同 IP 频繁尝试。
plaintext
Mar 20 10:12:33 ubuntu sshd[1234]: Failed password for root from 192.168.222.130 port 52345 ssh2 Mar 20 10:12:35 ubuntu sshd[1235]: Failed password for admin from 192.168.222.130 port 52346 ssh2处理方案:
- 使用
ufw deny from 192.168.222.130封禁 IP - 部署
fail2ban自动封禁(后文讲解)
2. 异地 / 异常用户登录
日志特征:出现陌生用户名、陌生 IP 成功登录Accepted。
plaintext
Mar 20 11:05:22 ubuntu sshd[5678]: Accepted password for hacker from 103.23.101.xx port 48882 ssh2处理方案:
- 立即断开该用户连接:
pkill -u hacker - 删除恶意用户:
userdel -r hacker - 检查系统是否被植入后门
3. Web 漏洞攻击(SQL 注入 / 文件上传)
查看 Nginx 访问日志:
bash
运行
grep -E "union|select|upload|php" /var/log/nginx/access.log日志特征:出现union select、../跨目录、eval等恶意字符。处理方案:修复 Web 漏洞、配置 WAF、清理上传木马。
四、自动化加固:安装 Fail2ban 自动防御暴力破解
手动看日志效率太低,Fail2ban是 Linux 必备的日志审计 + 自动防护工具,能实时监控日志,自动封禁恶意 IP。
1. 安装与启用
bash
运行
# Ubuntu/Debian apt install fail2ban -y # CentOS/RHEL yum install fail2ban -y # 启动并开机自启 systemctl start fail2ban systemctl enable fail2ban2. 基础配置(SSH 防护)
bash
运行
# 复制配置文件 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local # 编辑配置 nano /etc/fail2ban/jail.local修改以下参数(优化防护强度):
ini
bantime = 86400 # 封禁时间:1天 findtime = 60 # 1分钟内 maxretry = 3 # 失败3次则封禁3. 重启生效
bash
运行
systemctl restart fail2ban # 查看封禁状态 fail2ban-client status sshd配置完成后,暴力破解 IP 会被自动拉黑,无需人工干预。
五、日志审计最佳实践
- 定期巡检:每天查看认证日志与系统日志,形成习惯
- 日志留存:重要服务器配置日志远程备份(rsyslog),防止入侵者删除日志
- 最小权限:普通用户无权查看 /var/log/secure 等敏感日志
- 告警通知:结合邮件、企业微信机器人,实现异常登录实时告警
- 不裸奔:所有服务器必须部署 Fail2ban + 防火墙,双重防护
六、总结
Linux 安全是 **「防护 + 审计」** 的闭环:
- 上一篇我们做了服务安全加固(堵漏洞)
- 本篇我们完成了日志审计与入侵排查(找问题)
日志不是冰冷的文本,而是服务器的黑匣子—— 学会看懂日志,你就能在入侵发生的第一时间发现、阻断、溯源,真正掌握服务器安全主动权。
本文配套上一篇《Linux 系统服务安全》食用效果更佳,建议收藏两篇反复练习!
下期预告
《Linux 后门排查与木马清除实战》教你一键排查隐藏账号、开机自启后门、端口监听、挖矿木马,敬请关注~
📌 作者简介
专注Linux 运维 / 网络安全 / 渗透测试,持续分享干货实战教程👉点赞 + 收藏 + 关注,技术路上不迷路!