1. 介绍

Linux系统提供了全方位的日志记录。我们登录Linux系统之后做的事情Linux都有相应的日志记录。整个日志系统比较多。这里只介绍和登录比较密切相关的三个日志。

secure，btmp和wtmp这三个日志文件。

2. wtmp日志

首先，介绍wtmp日志文件，该文件记录了所有的登录过系统的用户信息。（PS：只记录了正确登录的用户。密码错误等在btmp文件和secure文件中）

该文件的地址路径为：var/log/wtmp 。wtmp文件是一个二进制文件，无法通过cat或者vim 进行阅读。需要通过命令last进行阅读。

示例如下：

[root@iZuf /]# last -F
root     pts/0        我的IP地址   Wed Nov 23 08:43:28 2022   still logged in
...
root     pts/0        我的IP地址   Wed Oct 19 16:00:28 2022 - Wed Oct 19 18:16:46 2022  (02:16)
root     pts/0        我的IP地址   Wed Oct 19 09:51:51 2022 - Wed Oct 19 10:42:08 2022  (00:50)
...

last 命名会默认从wtmp文件中读取数据。所以我们可以不用添加wtmp文件路径，但是如果使用 last -f 就需要我们主动添加wtmp路径了。

上面的数据分别是：

• 登录名：root。
• 打开的终端：pts/0
• 访问者IP：我的ip地址（PS：实际ip 是显示 111,111,111,111格式的）
• 登录时间：Tue Nov 15 11:17:40 2022
• 退出时间：Tue Nov 15 13:14:02 2022
• 耗时：(01:56) 如果显示still logged in。表示当前仍然属于登录状态。

如果我们觉得日期显示阅读不直观，可以通过命令last --time-format 进行日期格式化。示例如下：

[root@iZuf /]# last --time-format iso
...
root     pts/0        我的IP地址     2020-08-07T17:05:19+08:00 - 2020-08-07T17:06:39+08:00  (00:01)

时间将会变成我们能够直接阅读的格式。（PS：+08:00 只是说明当前日期进行了时区添加，并不代表我们还需要在显示的时间中添加8小时哦）

--time-format 后面的可选参数为：

• notime： 不显示时间。示例：(13:34)。只显示登录时长。不显示时间段
• short：短时间显示。示例：Fri Nov 4 17:53 - 18:03 (00:09)
• full：按照默认格式显示全部时间。示例：Tue Nov 22 13:48:22 2022 - Tue Nov 22 17:23:19 2022 (03:34)
• iso：按照iso时间格式显示全部时间。示例：2020-08-07T17:05:19+08:00 - 2020-08-07T17:06:39+08:00 (00:01)

这个文件将会记录全部的登录记录。如果中间出现了不属于我们熟悉的ip登录。那么说明账户密码有泄漏。或者其他非法登录产生。

PS：-F 命令不能和--time-format 一起使用，因为它们两者都对输出的时间格式有影响。

3. btmp 日志

如果说wtmp是记录登录成功的日志。那么btmp就是记录所有尝试登录，但是登录失败的日志。它存储的路径和wtmp文件在同一目录下：/var/log/btmp

同样btmp也是属于二进制文件。无法通过cat或者vim 进行阅读。需要通过命令lastb进行阅读。

last： 阅读的wtmp文件

lastb：阅读的btmp文件

这两个指令是有一个字母的区别。千万不要弄混了

这两个命令的 参数可以说是完全一样。可以用于last的也可以用于lastb。

lastb的命令参数如下：

• -<number> ：要显示多少行
• -a, --hostlast ：在最后一列中显示主机名
• -d, --dns ：将IP地址转换回主机名
• -f <file> ：使用特定文件而不是/var/log/btmp
• -F, --fulltimes ：打印完整的登录和注销时间和日期
• -i, --ip ：以数字和点表示法显示IP号码
• -n, --limit <number> ：要显示多少行
• -R, --nohostname ：不显示主机名字段
• -s, --since <time> ：显示指定时间之后的行 （查询指定时间之后的记录）
• -t, --until <time> ：显示指定时间之前的行 （查询指定时间之前的记录）
• -p, --present <time> ：显示在指定时间内在场的账户
• -w, --fullnames ：显示完整的用户名和域名
• -x, --system ：显示系统关闭条目和运行级别更改
• --time-format <format> ：显示指定格式的时间戳 <format>: notime|short|full|iso

PS：-F 命令不能和--time-format 一起使用，因为它们两者都对输出的时间格式有影响。

具体使用示例：（PS：由于内容比较多，就先显示10条记录了）

[root@iZuf /]# lastb -10
liu      ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
sine     ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
ftpUser  ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
sine     ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
liu      ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
chenms   ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
mingjian ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
liu      ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
sine     ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)
ftpUser  ssh:notty    170.64.132.128   Wed Nov 23 07:40 - 07:40  (00:00)

格式表现为：

第一列显示登录名，第二列显示登录ssh方式很明显 ssh:notty是在使用暴力破解ssh密码。（这也是为什么Linux建议一段时间内跟换密码的原因，当然使用秘钥的安全性要比密码高不少。），第三列显示的就是访问者IP地址了。 之后的就是时间和耗费时长了。

示例,将时间戳进行序列化后显示如下：

[root@iZuf /]# lastb -10 --time-format iso
liu      ssh:notty    170.64.132.128   2022-11-23T07:40:24+08:00 - 2022-11-23T07:40:24+08:00  (00:00)
sine     ssh:notty    170.64.132.128   2022-11-23T07:40:24+08:00 - 2022-11-23T07:40:24+08:00  (00:00)
ftpUser  ssh:notty    170.64.132.128   2022-11-23T07:40:23+08:00 - 2022-11-23T07:40:23+08:00  (00:00)
sine     ssh:notty    170.64.132.128   2022-11-23T07:40:23+08:00 - 2022-11-23T07:40:23+08:00  (00:00)
liu      ssh:notty    170.64.132.128   2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00  (00:00)
chenms   ssh:notty    170.64.132.128   2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00  (00:00)
mingjian ssh:notty    170.64.132.128   2022-11-23T07:40:22+08:00 - 2022-11-23T07:40:22+08:00  (00:00)
liu      ssh:notty    170.64.132.128   2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00  (00:00)
sine     ssh:notty    170.64.132.128   2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00  (00:00)
ftpUser  ssh:notty    170.64.132.128   2022-11-23T07:40:21+08:00 - 2022-11-23T07:40:21+08:00  (00:00)

3.1 日志时长

btmp日志由于内容过多。它会按30天进行备份一次数据。只会备份一个月的数据。

备份文件和btmp文件存储在同一目录下，只是命名后面追加上备份创建日期而已。示例：

小技巧：在Linux系统中填写路径时按Tab将会补全，如果无法补全说明有多个候选项，我们双击Tab将会列出全部候选项。

[root@iZuf /]# ls var/log/btmp
btmp           btmp-20221101  

例如上面的结果，我们如果要看btmp-20221101 里面的数据，就需要使用：lastb -f /var/log/btmp-20221101

示例如下，查询上个月的非法登录的前10条记录：

[root@iZuf /]# lastb -f /var/log/btmp-20221101 -10
sine     ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
liu      ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
sine     ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
sine     ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
wjquan   ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
liu      ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
zkkj     ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
chenms   ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
mingjian ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)
mingjian ssh:notty    143.244.141.68   Sat Oct 29 22:02 - 22:02  (00:00)

如果非法登录的数据文件比较大，我们怎么进行查询呢？Linux可以针对数据进行筛选

3.2 统计ip登录次数

恶意访问数据过多的时候，我们通过lastb直接阅读比较困难因为数据较大。这个时候我们就可以通过对查询结果进行筛选。

例如：

[root@iZuf /]# lastb | awk '{ print $3}' | sort | uniq -c | sort -n
      5 98.143.158.42
   5368 143.244.137.83
   5402 170.64.132.120
   5522 170.64.132.128
   6212 193.47.61.21

上述显示结果，第一列ip地址的登录次数，第二列为ip地址。我们可以对登录过大的ip进行封禁操作。

下面进行命令拆分介绍。在Linux中通过|符号对命令进行拆分。

上述的命令其实就是：

• lastb ： 通过lastb命令会拉取全部的非法登录日志
• awk '{print $3}' ：截取lastb输出的数据中的第三列也就是ip地址。
• sort ：将ip地址进行分类
• uniq -c ：将分类好的ip数据进行去重并计数
• sort -n ： 将分类去重并计数的数据，进行分类并且按照数值进行从小到大排序。

例如我们如果要查上一个月的非法登录次数统计：

[root@iZuf /]# lastb -f /var/log/btmp-20221101 | awk '{ print $3}' | sort | uniq -c | sort -n
     51 157.230.21.85
   4861 167.71.234.209
   5038 143.244.141.68
   5202 143.244.129.121
   5262 167.71.226.83

PS: 如果想高效控制和防范，那么使用防火墙可以说是最佳选择了。可以使用阿里云提供的云防火墙，包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力。

https://www.aliyun.com/product/cfw?source=5176.11533457&userCode=w5jkvc5z

4. secure 日志

相较于wtmp文件和btmp文件，secure日志就是一个文本。可以通过vim或者cat阅读。也可以导出到windows环境下使用VSCode或者文本文档等阅读。

secure日志和wtmp和btmp文件一样，存储在var/log目录下。示例如下：

[root@iZuf /]# ls /var/log/secure
secure           secure-20221030  secure-20221106  secure-20221113  secure-20221120 

secure文件是按照每7天备份一次的频率，进行备份的。文档打开后的内容如下所示：

Nov 20 09:25:19 iZuf sshd[2322424]: error: kex_exchange_identification: banner line contains invalid characters
Nov 20 12:55:16 iZuf sshd[2323018]: error: kex_exchange_identification: Connection closed by remote host
Nov 20 12:58:27 iZuf sshd[2323024]: Invalid user amax from 170.64.132.120 port 47146
Nov 20 12:58:28 iZuf sshd[2323026]: Invalid user amax from 170.64.132.120 port 47158
Nov 20 12:58:28 iZuf sshd[2323024]: pam_unix(sshd:auth): check pass; user unknown
Nov 20 12:58:28 iZuf sshd[2323024]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120
Nov 20 12:58:28 iZuf sshd[2323026]: pam_unix(sshd:auth): check pass; user unknown
Nov 20 12:58:28 iZuf sshd[2323026]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120
Nov 20 12:58:28 iZuf sshd[2323028]: Invalid user amax from 170.64.132.120 port 47164
Nov 20 12:58:28 iZuf sshd[2323030]: Invalid user amax from 170.64.132.120 port 47178
Nov 20 12:58:28 iZuf sshd[2323028]: pam_unix(sshd:auth): check pass; user unknown
Nov 20 12:58:28 iZuf sshd[2323028]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120
Nov 20 12:58:28 iZuf sshd[2323032]: Invalid user amax from 170.64.132.120 port 47188
Nov 20 12:58:29 iZuf sshd[2323030]: pam_unix(sshd:auth): check pass; user unknown
Nov 20 12:58:29 iZuf sshd[2323030]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120
Nov 20 12:58:29 iZuf sshd[2323032]: pam_unix(sshd:auth): check pass; user unknown

相较于wtmp和btmp一个记录成功的，一个记录失败的。secure日志记录整个登录过程的所有数据，不管成功还是失败都会进行记录。

PS：由于secure日志属于文档类型的，那么登录成功后的非法登录它是可以比较方便的对secure文件进行篡改的。

下面简单列一些出现的各种错误和成功日志：

0. 访问成功后的日志：Accepted password for root from 我的真实IP port 端口号 ssh2
1. 指令与端口不匹配: 修改了默认的SSH端口（22） 改为其他端口了。攻击者访问该端口时，命令和端口服务不匹配就会出现下面的错误日志记录。
2. error: kex_exchange_identification: banner line contains invalid characters
3. ip地址为170.64.132.120 的主机尝试破解sshd登录：它使用了新的账户和密码进行验证
4. pam_unix(sshd:auth): check pass; user unknown
   pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.64.132.120
5. 提示来自于170.64.132.120 主机的端口 47146的请求，用户名无效。不允许操作：Invalid user amax from 170.64.132.120 port 47146
6. 为正确用户开启root会话，也就是远程登录的命令输入界面：pam_unix(sshd:session): session opened for user root by (uid=0)
7. 为用户关闭root会话 也就是命令行输入界面：pam_unix(sshd:session): session closed for user root
8. 来自用户名jason的登录，密码和用户验证失败：Failed password for invalid user jason from 170.64.132.128 port 59676 ssh2

等等还有很多的命令日志。

只要我们的服务器开启了SSH，那么这种攻击就会再所难免。我们需要

0. 修改默认的ssh的端口22改为其他的端口，可以提高安全性。
1. root密码设置比较复杂的密码，并且保持更新。
2. 使用秘钥验证比密码验证安全性更高。
3. 使用防火墙屏蔽大量访问的ip.
4. 使用脚本，对攻击访问进行自动拉黑添加到屏蔽访问的文件中。

5. 总结

只要将我们的服务器在公网环境公开，提供服务。就避免不了来自全球互联网上的各种攻击。大部分的攻击都是一些泛攻击，利用程序自动扫描并发起攻击而已。

更多的针对的都是一些弱密码例如123456，admin等的自动攻击脚本。

我们只需要给自己的服务器创建复杂程度高的密码，并保持一段时间的密码跟换。同时如果必须使用SSH登录就将默认端口22更换为其他端口。跟换端口可以参考文章：Linux 更换SSH默认22端口，禁用ping 指令，提高安全性

然后一段时间后，针对大量重复的ip地址进行封禁就可以了。