安全日志

安全日志路径

执行登录或sudo 会记录在内

ubuntu22.04 LTS

在Ubuntu 22.04 LTS中，sudo的日志通常会被记录到/var/log/auth.log文件中

Apr 19 12:00:33 smcp sshd[3078041]: Accepted password for smcp from 192.168.xx.xxx port 56264 ssh2
Apr 19 12:00:33 smcp sshd[3078041]: pam_unix(sshd:session): session opened for user smcp(uid=1000) by (uid=0)
Apr 19 12:00:33 smcp systemd-logind[2791058]: New session 8565 of user smcp.
Apr 19 12:03:03 smcp sudo:     smcp : TTY=pts/4 ; PWD=/home/smcp ; USER=root ; COMMAND=/usr/bin/docker ps
Apr 19 12:03:03 smcp sudo: pam_unix(sudo:session): session opened for user root(uid=0) by smcp(uid=1000)

centos7

在 CentOS 7 中，安全日志通常保存在 /var/log/secure 文件中，该文件记录了与安全相关的重要事件。具体来说，/var/log/secure 主要记录了以下内容：

1. 用户登录和注销事件：包括成功的和失败的登录尝试，以及用户注销的记录。这有助于追踪未经授权的访问尝试。
2. sudo 和其他特权命令的使用：当用户使用 sudo 或其他需要特权的命令时，这些操作会被记录在 /var/log/secure 中。这有助于监控谁在使用特权命令以及何时使用。
3. 身份验证和授权事件：包括 PAM（Pluggable Authentication Modules，可插拔认证模块）相关的身份验证尝试，如密码验证、公钥验证等。
4. 会话管理：与 SSH、telnet 等远程访问服务相关的会话创建、终止等事件也会被记录。
5. 安全策略更改：如 SELinux 状态的变化、防火墙规则的更改等与安全策略相关的操作。
6. 其他与安全相关的警告和错误：系统检测到的任何与安全相关的潜在问题或错误通常也会记录在这个文件中。

Apr 19 12:09:35 localhost sshd[22658]: Accepted password for root from 192.168.12.62 port 4744 ssh2
Apr 19 12:09:36 localhost sshd[22658]: pam_unix(sshd:session): session opened for user root by (uid=0)
Apr 19 12:11:50 localhost sudo:    root : TTY=pts/2 ; PWD=/root ; USER=root ; COMMAND=/bin/docker ps
Apr 19 12:11:50 localhost sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)