信息安全工程師案例分析真題考點：Linux審計機制及常用審計命令

Linux內核有用日志記錄事件的能力，比如記錄系統(tǒng)調用和文件訪問。管理員通過這些日志，可以確定可能存在的安全裂口，比如失敗的登錄嘗試，或者用戶對系統(tǒng)文件不成功的訪問等，Linux系統(tǒng)日志主要存放在/var/log目錄下，常見的一些系統(tǒng)日志文件如下：

·lastlog：記錄用戶最近成功登錄的時間;

·loginlog：不良的登錄嘗試記錄;

·messages：記錄輸出到系統(tǒng)主控臺以及由syslog系統(tǒng)服務程序產(chǎn)生的消息;

·utmp：記錄當前登錄的每個用戶;

·utmpx：擴展的utmp:

·wtmp：記錄每一次用戶登錄和注銷的歷史信息;

·wtmpx：擴展的wtmp:

·yold.log;記錄使用外部介質出現(xiàn)的錯誤：

·xferkig：記錄ftp的存取情況;

·sulog：記錄su命令的使用情況;

·acct：記錄每個用戶使用過的命令。

安全信息和系統(tǒng)登錄與網(wǎng)絡連接的信息：/var/log/secure

/var/log/secure一般用來記錄安全相關的信息，記錄最多的是哪些用戶登錄服務器的相關日志，如果該文件很大，說明有人在破解你的root密碼，或爆力破解(一般是SSH暴力破解)。

/var/log/auth.log、/var/log/secure記錄驗證和授權方面的信息，只要涉及賬號和密碼的程序都會記錄，比如SSH登錄，su切換用戶，sudo授權，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中。

常用審計命令：

//定位多少IP在爆破root賬號

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

//定位有多少IP在爆破

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

//爆破用戶名的字典是什么

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

//查看登錄成功的IP有哪些

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

//登錄成功的日志、用戶名、IP

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

相關真題：2021年信息安全工程師下午案例分析真題，第二大題，問題3。

日志包含設備、系統(tǒng)和應用軟件的各種運行信息，是安全運維的重點關注對象。李工在定期巡檢服務器的SSHH志時，發(fā)現(xiàn)了以下可疑記錄：

(1)請問李工打開的系統(tǒng)日志文律的路徑和名稱是什么?

(2)李工懷疑有黑客在攻擊該系統(tǒng)，請給出判斷攻擊成功與否的日志以便李工評估攻擊的影響。