So überprüfen Sie Serverprotokolle auf Sicherheits- und Softwareprobleme

Was brauche ich?

  • Ein dedizierter oder VPS -Linux-Server
  • CentOS

Was sind Protokolldateien?

Protokolldateien sind die überaus wichtigen Aufzeichnungen, die Linux für Administratoren speichert, um wichtige Ereignisse auf dem Webserver, dem Kernel, den Diensten und den darauf ausgeführten Anwendungen zu verfolgen und zu überwachen. Linux bietet ein zentrales Repository für Protokolldateien, das sich im Verzeichnis /var/log befinden kann. Alle in einer Linux-Umgebung generierten Protokolldateien können normalerweise in vier verschiedene Kategorien eingeteilt werden:

  • Anwendungsprotokolle,
  • Ereignisprotokolle,
  • Serviceprotokolle,
  • Systemprotokolle.
  1. Überwachen Sie Protokolldateien

  1. Die Überwachung und Analyse von Protokolldateien kann eine anspruchsvolle Aufgabe sein. Die schiere Menge an Protokollen kann es manchmal frustrierend machen, einen Drilldown durchzuführen und die richtige Datei zu finden, die die erforderlichen Informationen enthält.
  1. Mitteilungen
cat /var/log/messages

So überprüfen Sie Serverprotokolle auf Sicherheits- und Softwareprobleme

  1. Diese Protokolldatei enthält allgemeine Systemaktivitätsprotokolle. Es wird hauptsächlich zum Speichern informativer und nicht kritischer Systemmeldungen verwendet.
  2. Mithilfe dieser Protokolle können Sie Nicht-Kernel-Startfehler, anwendungsbezogene Dienstfehler und die Meldungen verfolgen, die während des Systemstarts protokolliert werden. Es ist die erste Protokolldatei, die jeder Linux-Administrator überprüfen sollte, wenn etwas schief geht.
  1. Auth.log

cat /var/log/auth.log

So überprüfen Sie Serverprotokolle auf Sicherheits- und Softwareprobleme

  1. Alle authentifizierungsbezogenen Ereignisse auf Debian- und Ubuntu-Servern werden hier protokolliert. Wenn Sie etwas zum Benutzerautorisierungsmechanismus suchen, finden Sie es hier.
  2. Wenn Sie den Verdacht haben, dass auf Ihrem Server eine Sicherheitsverletzung vorliegt, finden Sie hier möglicherweise Hinweise. Wenn Sie eine verdächtige Javascript-Datei bemerken, wo sie nicht sein sollte, sehen Sie sie hier.
  1. Secure.log

  1. RedHat- und CentOS-basierte Systeme verwenden diese Protokolldatei anstelle von /var/log/auth.log . Es wird hauptsächlich verwendet, um die Nutzung von Autorisierungssystemen zu verfolgen. Es speichert alle sicherheitsrelevanten Nachrichten, einschließlich Authentifizierungsfehler und verschiedene andere. Es ist auch für die Verfolgung von Sudo-Anmeldungen, SSH-Anmeldungen und anderen Fehlern verantwortlich, die von Daemons oder Diensten des Sicherheitssystems protokolliert werden.
  2. Alle Benutzerauthentifizierungsereignisse werden protokolliert. Diese Datei kann detaillierte Einblicke in nicht autorisierte und fehlgeschlagene Anmeldeversuche geben und kann bei der Erkennung möglicher Hackerversuche nützlich sein. Außerdem speichert es nützliche Informationen über erfolgreiche Anmeldungen und verfolgt die Aktivitäten gültiger Benutzer.
  1. Boot.log

cat /var/log/boot.log
  1. Das Systeminitialisierungsskript /etc/init.d/bootmisc.sh sendet alle Startmeldungen an diese Protokolldatei. Dies ist das Repository mit bootbezogenen Informationen und Meldungen, die während des Systemstartvorgangs protokolliert werden. Sie sollten diese Protokolldatei analysieren, um Probleme im Zusammenhang mit unsachgemäßem Herunterfahren, ungeplanten Neustarts oder Startfehlern zu untersuchen. Sie können auch die Dauer der Systemausfallzeit ermitteln, die durch ein unerwartetes Herunterfahren verursacht wird.
  1. Dmesg

cat /var/log/dmesg
  1. Diese Datei enthält Kernel-Ringpuffermeldungen. Hier werden Informationen zu Hardwaregeräten und deren Treibern protokolliert. Während der Kernel während des Bootvorgangs physische Hardwaregeräte erkennt, die mit dem Webserver verknüpft sind, erfasst er den Gerätestatus, Hardwarefehler und andere allgemeine Meldungen.
  2. Diese Protokolldatei ist vor allem für Benutzer dedizierter Server nützlich . Wenn bestimmte Hardware nicht ordnungsgemäß funktioniert oder nicht erkannt wird, können Sie sich bei der Behebung des Problems auf diese Protokolldatei verlassen.
  1. Kern.log

cat /var/log/kern.log
  1. Dies ist eine sehr wichtige Protokolldatei, da sie vom Kernel protokollierte Informationen enthält. Perfekt für die Fehlerbehebung bei Kernel-bezogenen Fehlern und Warnungen.
  2. Kernel-Protokolle können bei der Fehlerbehebung eines benutzerdefinierten Kernels hilfreich sein und können beim Debuggen von Hardware- und Konnektivitätsproblemen äußerst nützlich sein.
  1. Fehlerprotokoll

cat /var/log/faillog
  1. Diese Datei enthält Informationen zu fehlgeschlagenen Anmeldeversuchen. Es funktioniert am besten, um alle versuchten Sicherheitsverstöße herauszufinden, die das Hacken von Benutzernamen/Passwörtern und Brute-Force-Angriffe beinhalten.

Nächste Schritte

Ich würde empfehlen, sich die Vielfalt anderer verfügbarer Protokolle anzusehen. Es ist beispielsweise immer eine gute Idee, Folgendes zu überprüfen:

  • /var/log/cron
cat /var/log/cron
  • /var/log/yum.log
cat /var/log/yum.log
  • /var/log/maillog oder /var/log/mail.log
cat /var/log/mail.log
  • /var/log/httpd/
cat /var/log/httpd/
  • /var/log/mysqld.log oder /var/log/mysql.log
cat /var/log/mysqld.log

Abschluss

Während die Überwachung und Analyse aller vom System generierten Protokolldateien eine schwierige Aufgabe sein kann, können Sie ein zentralisiertes Protokollüberwachungstool verwenden, um den Prozess zu vereinfachen. Persönlich schlage ich vor, dass Sie sich mit diesen Protokolldateien auseinandersetzen und sie manuell überwachen, anstatt die Inspektion und Kontrolle an ausgelagerte Elemente zu übergeben.

  • Klicken Sie auf diesen Link, um neue Informationen zum besten Website-Hosting zu erhalten .