Linux 系统日志—Secure，Btmp，Wtmp文件详解

　　只要将我们的服务器在公网环境公开，提供服务。就避免不了来自全球互联网上的各种攻击。大部分的攻击都是一些泛攻击，利用程序自动扫描并发起攻击而已。

　　1、介绍

　　Linux系统提供了全方位的日志记录。我们登录Linux系统之后做的事情Linux都有相应的日志记录。整个日志系统比较多。这里只介绍和登录比较密切相关的三个日志。

　　secure，btmp和wtmp这三个日志文件。

　　2、wtmp日志

　　首先，介绍wtmp日志文件，该文件记录了所有的登录过系统的用户信息。(PS：只记录了正确登录的用户。密码错误等在btmp文件和secure文件中)

　　该文件的地址路径为：var/log/wtmp 。wtmp文件是一个二进制文件，无法通过cat或者vim 进行阅读。需要通过命令last进行阅读。

　　示例如下：

　　复制

　　1.  [root@iZuf /]# last -F

　　2.  root pts/0 我的IP地址 Wed Nov 23 08:43:28 2022 still logged in

　　3.  ...

　　4.  root pts/0 我的IP地址 Wed Oct 19 16:00:28 2022 - Wed Oct 19 18:16:46 2022 (02:16)

　　5.  root pts/0 我的IP地址 Wed Oct 19 09:51:51 2022 - Wed Oct 19 10:42:08 2022 (00:50)

　　6.  ...

　　last 命名会默认从wtmp文件中读取数据。所以我们可以不用添加wtmp文件路径，但是如果使用 last -f 就需要我们主动添加wtmp路径了。

　　上面的数据分别是：

• 　　登录名：root。
• 　　打开的终端：pts/0
• 　　访问者IP：我的ip地址(PS：实际ip 是显示 111,111,111,111格式的)
• 　　登录时间：Tue Nov 15 11:17:40 2022
• 　　退出时间：Tue Nov 15 13:14:02 2022
• 　　耗时：(01:56) 如果显示still logged in。表示当前仍然属于登录状态。

　　如果我们觉得日期显示阅读不直观，可以通过命令last --time-format 进行日期格式化。示例如下：

　　复制

　　1.  [root@iZuf /]# last --time-format iso

　　2.  ...

　　3.  root pts/0 我的IP地址 2020-08-07T17:05:19+08:00 - 2020-08-07T17:06:39+08:00 (00:01)

　　时间将会变成我们能够直接阅读的格式。(PS：+08:00 只是说明当前日期进行了时区添加，并不代表我们还需要在显示的时间中添加8小时哦)

　　--time-format 后面的可选参数为：

• 　　notime： 不显示时间。示例：(13:34)。只显示登录时长。不显示时间段
• 　　short：短时间显示。示例：Fri Nov 4 17:53 - 18:03 (00:09)
• 　　full：按照默认格式显示全部时间。示例：Tue Nov 22 13:48:22 2022 - Tue Nov 22 17:23:19 2022 (03:34)
• 　　iso：按照iso时间格式显示全部时间。示例：2020-08-07T17:05:19+08:00 - 2020-08-07T17:06:39+08:00 (00:01)

　　这个文件将会记录全部的登录记录。如果中间出现了不属于我们熟悉的ip登录。那么说明账户密码有泄漏。或者其他非法登录产生。

　　PS：-F 命令不能和--time-format 一起使用，因为它们两者都对输出的时间格式有影响。

　　3、btmp 日志

　　如果说wtmp是记录登录成功的日志。那么btmp就是记录所有尝试登录，但是登录失败的日志。它存储的路径和wtmp文件在同一目录下：/var/log/btmp

　　同样btmp也是属于二进制文件。无法通过cat或者vim 进行阅读。需要通过命令lastb进行阅读。

　　last： 阅读的wtmp文件

　　lastb：阅读的btmp文件

　　这两个指令是有一个字母的区别。千万不要弄混了

　　这两个命令的 参数可以说是完全一样。可以用于last的也可以用于lastb。

　　lastb的命令参数如下：

• 　　- <number>：要显示多少行
• 　　-a, --hostlast ：在最后一列中显示主机名
• 　　-d, --dns ：将IP地址转换回主机名
• 　　-f <file>：使用特定文件而不是/var/log/btmp
• 　　-F, --fulltimes ：打印完整的登录和注销时间和日期
• 　　-i, --ip ：以数字和点表示法显示IP号码
• 　　-n, --limit<number> ：要显示多少行
• 　　-R, --nohostname ：不显示主机名字段
• 　　-s, --since <time>：显示指定时间之后的行 (查询指定时间之后的记录)
• 　　-t, --until<time>：显示指定时间之前的行 (查询指定时间之前的记录)
• 　　-p, --present<time>：显示在指定时间内在场的账户
• 　　-w, --fullnames ：显示完整的用户名和域名
• 　　-x, --system ：显示系统关闭条目和运行级别更改
• 　　--time-format<format> ：显示指定格式的时间戳 : notime|short|full|iso

　　PS：-F 命令不能和--time-format 一起使用，因为它们两者都对输出的时间格式有影响。

　　具体使用示例：(PS：由于内容比较多，就先显示10条记录了)

　　复制

　　1.  [root@iZuf /]# lastb -10

　　2.  liu ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　3.  sine ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　4.  ftpUser ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　5.  sine ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　6.  liu ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　7.  chenms ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　8.  mingjian ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　9.  liu ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　10.  sine ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　11.  ftpUser ssh:notty 170.64.132.128 Wed Nov 23 07:40 - 07:40 (00:00)

　　格式表现为：

　　第一列显示登录名，第二列显示登录ssh方式很明显 ssh:notty是在使用暴力破解ssh密码。(这也是为什么Linux建议一段时间内跟换密码的原因，当然使用秘钥的安全性要比密码高不少。)，第三列显示的就是访问者IP地址了。 之后的就是时间和耗费时长了。

　　示例,将时间戳进行序列化后显示如下：

　　复制

　　1.  [root@iZuf /]# lastb -10 --time-format iso

　　2.  liu ssh:notty 170.64.132.128 2022-11-23T07:40:24+08:00 - 2022-11-23T07:40:24+08:00 (00:00)

　　3.  sine ssh:notty 170.64.132.128 2022-11-23T07:40:24+08:00 - 2022-11-23T07:40:24+08:00 (00:00)

　　4.  ftpUser ssh:notty 170.64.132.128 2022-11-23T07:40:23+08:00 - 2022-11-23T07:40:23+08:00 (00:00)

　　5.  sine ssh:notty 170.64.132.128 2022-11-23T07:40:23+08:00 - 2022-11-23T07:40:23+08:00 (00:00)

　　6.  liu ssh:notty 170.64.132.128 2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00 (00:00)

　　7.  chenms ssh:notty 170.64.132.128 2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00 (00:00)

　　8.  mingjian ssh:notty 170.64.132.128 2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00 (00:00)

　　9.  liu ssh:notty 170.64.132.128 2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00 (00:00)

　　10.  sine ssh:notty 170.64.132.128 2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00 (00:00)

　　11.  ftpUser ssh:notty 170.64.132.128 2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00 (00:00)

　　(1)日志时长

　　btmp日志由于内容过多。它会按30天进行备份一次数据。只会备份一个月的数据。

　　备份文件和btmp文件存储在同一目录下，只是命名后面追加上备份创建日期而已。示例：

　　小技巧：在Linux系统中填写路径时按Tab将会补全，如果无法补全说明有多个候选项，我们双击Tab将会列出全部候选项。

　　复制

　　1.  [root@iZuf /]# ls var/log/btmp

　　2.  btmp btmp-20221101 

　　例如上面的结果，我们如果要看btmp-20221101 里面的数据，就需要使用：lastb -f /var/log/btmp-20221101

　　示例如下，查询上个月的非法登录的前10条记录：

　　复制

　　1.  [root@iZuf /]# lastb -f /var/log/btmp-20221101 -10

　　2.  sine ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　3.  liu ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　4.  sine ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　5.  sine ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　6.  wjquan ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　7.  liu ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　8.  zkkj ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　9.  chenms ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　10.  mingjian ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　11.  mingjian ssh:notty 143.244.141.68 Sat Oct 29 22:02 - 22:02 (00:00)

　　如果非法登录的数据文件比较大，我们怎么进行查询呢?Linux可以针对数据进行筛选

　　(2)统计ip登录次数

　　恶意访问数据过多的时候，我们通过lastb直接阅读比较困难因为数据较大。这个时候我们就可以通过对查询结果进行筛选。

　　例如：

　　复制

　　1.  [root@iZuf /]# lastb | awk '{ print $3}' | sort | uniq -c | sort -n

　　2.  5 98.143.158.42

　　3.  5368 143.244.137.83

　　4.  5402 170.64.132.120

　　5.  5522 170.64.132.128

　　6.  6212 193.47.61.21

　　上述显示结果，第一列ip地址的登录次数，第二列为ip地址。我们可以对登录过大的ip进行封禁操作。

　　下面进行命令拆分介绍。在Linux中通过|符号对命令进行拆分。

　　上述的命令其实就是：

• 　　lastb ： 通过lastb命令会拉取全部的非法登录日志。
• 　　awk '{print $3}' ：截取lastb输出的数据中的第三列也就是ip地址。
• 　　sort ：将ip地址进行分类。
• 　　uniq -c ：将分类好的ip数据进行去重并计数。
• 　　sort -n ： 将分类去重并计数的数据，进行分类并且按照数值进行从小到大排序。

　　例如我们如果要查上一个月的非法登录次数统计：

　　复制

　　1.  [root@iZuf /]# lastb -f /var/log/btmp-20221101 | awk '{ print $3}' | sort | uniq -c | sort -n

　　2.  51 157.230.21.85

　　3.  4861 167.71.234.209

　　4.  5038 143.244.141.68

　　5.  5202 143.244.129.121

　　6.  5262 167.71.226.83

　　PS: 如果想高效控制和防范，那么使用防火墙可以说是最佳选择了。可以使用阿里云提供的云防火墙，包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力。

　　4、secure 日志

 

　　相较于wtmp文件和btmp文件，secure日志就是一个文本。可以通过vim或者cat阅读。也可以导出到windows环境下使用VSCode或者文本文档等阅读。

　　secure日志和wtmp和btmp文件一样，存储在var/log目录下。示例如下：

　　复制

　　1.  [root@iZuf /]# ls /var/log/secure

　　2.  secure secure-20221030 secure-20221106 secure-20221113 secure-20221120 

　　secure文件是按照每7天备份一次的频率，进行备份的。文档打开后的内容如下所示：

　　复制

　　1.  Nov 20 09:25:19 iZuf sshd[2322424]: error: kex_exchange_identification: banner line contains invalid characters

　　2.  Nov 20 12:55:16 iZuf sshd[2323018]: error: kex_exchange_identification: Connection closed by remote host

　　3.  Nov 20 12:58:27 iZuf sshd[2323024]: Invalid user amax from 170.64.132.120 port 47146

　　4.  Nov 20 12:58:28 iZuf sshd[2323026]: Invalid user amax from 170.64.132.120 port 47158

　　5.  Nov 20 12:58:28 iZuf sshd[2323024]: pam_unix(sshd:auth): check pass; user unknown

　　6.  Nov 20 12:58:28 iZuf sshd[2323024]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

　　7.  Nov 20 12:58:28 iZuf sshd[2323026]: pam_unix(sshd:auth): check pass; user unknown

　　8.  Nov 20 12:58:28 iZuf sshd[2323026]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

　　9.  Nov 20 12:58:28 iZuf sshd[2323028]: Invalid user amax from 170.64.132.120 port 47164

　　10.  Nov 20 12:58:28 iZuf sshd[2323030]: Invalid user amax from 170.64.132.120 port 47178

　　11.  Nov 20 12:58:28 iZuf sshd[2323028]: pam_unix(sshd:auth): check pass; user unknown

　　12.  Nov 20 12:58:28 iZuf sshd[2323028]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

　　13.  Nov 20 12:58:28 iZuf sshd[2323032]: Invalid user amax from 170.64.132.120 port 47188

　　14.  Nov 20 12:58:29 iZuf sshd[2323030]: pam_unix(sshd:auth): check pass; user unknown

　　15.  Nov 20 12:58:29 iZuf sshd[2323030]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120

　　16.  Nov 20 12:58:29 iZuf sshd[2323032]: pam_unix(sshd:auth): check pass; user unknown

　　相较于wtmp和btmp一个记录成功的，一个记录失败的。secure日志记录整个登录过程的所有数据，不管成功还是失败都会进行记录。

　　PS：由于secure日志属于文档类型的，那么登录成功后的非法登录它是可以比较方便的对secure文件进行篡改的。

　　下面简单列一些出现的各种错误和成功日志：

　　1.访问成功后的日志：Accepted password for root from 我的真实IP port 端口号 ssh2

　　2.指令与端口不匹配: 修改了默认的SSH端口(22) 改为其他端口了。攻击者访问该端口时，命令和端口服务不匹配就会出现下面的错误日志记录。

　　3.error: kex_exchange_identification: banner line contains invalid characters。

　　4.ip地址为170.64.132.120 的主机尝试破解sshd登录：它使用了新的账户和密码进行验证。

　　5.pam_unix(sshd:auth): check pass; user unknown

　　6.pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120。

　　7.提示来自于170.64.132.120 主机的端口 47146的请求，用户名无效。不允许操作：Invalid user amax from 170.64.132.120 port 47146。

　　8.为正确用户开启root会话，也就是远程登录的命令输入界面：pam_unix(sshd:session): session opened for user root by (uid=0)。

　　9.为用户关闭root会话 也就是命令行输入界面：pam_unix(sshd:session): session closed for user root。

　　来自用户名jason的登录，密码和用户验证失败：Failed password for invalid user jason from 170.64.132.128 port 59676 ssh2。

　　等等还有很多的命令日志。

　　只要我们的服务器开启了SSH，那么这种攻击就会再所难免。我们需要

　　1.修改默认的ssh的端口22改为其他的端口，可以提高安全性。

　　2.root密码设置比较复杂的密码，并且保持更新。

　　3.使用秘钥验证比密码验证安全性更高。

　　4.使用防火墙屏蔽大量访问的ip。

　　5.使用脚本，对攻击访问进行自动拉黑添加到屏蔽访问的文件中。

　　5、总结

　　只要将我们的服务器在公网环境公开，提供服务。就避免不了来自全球互联网上的各种攻击。大部分的攻击都是一些泛攻击，利用程序自动扫描并发起攻击而已。

　　更多的针对的都是一些弱密码例如123456，admin等的自动攻击脚本。

　　我们只需要给自己的服务器创建复杂程度高的密码，并保持一段时间的密码跟换。同时如果必须使用SSH登录就将默认端口22更换为其他端口。​​​​

　　然后一段时间后，针对大量重复的ip地址进行封禁就可以了。

　　来源： 今日头条

　　>>>>>>点击进入系统运维专题