扫码查看公告

Linux服务器日志审计:从SSH登录到Web访问的溯源清单

发布人:八彩云 分类:网络安全相关 发布时间:2026-07-11 09:09
Linux服务器日志审计:从SSH登录到Web访问的溯源清单
导读

服务器出现异常登录、网站被篡改、CPU 飙高或文件被删除时,日志是还原事件链路的关键依据。很多事故处理失败,不是因为没有日志,而是日志分散、时间不准、保留周期太短,或者关键字段没有被记录。本文围绕 Linux 服务器常见场景,梳理 SSH 登录、Web 访问、权限变更、计划任务和系统服务的审计清单,帮助运维人员在异常发生后更快判断影响范围。

一、先统一时间和日志保留周期

所有溯源工作都依赖时间线。服务器应启用可靠的时间同步,日志时区保持一致,避免 Web 日志、系统日志和数据库日志相互对不上。日志保留周期要结合业务风险设置,生产站点建议至少保留 30 天以上的关键日志。对容易被删除的日志,可以同步到远程日志服务器或对象存储,避免入侵者清理本机痕迹。

二、SSH 登录审计要看成功和失败两类记录

SSH 审计不只看成功登录。大量失败尝试、异常国家或地区 IP、非常规时间段登录、root 直接登录、短时间多用户切换,都是需要关注的信号。常见检查对象包括 auth.log、secure、last、lastb、wtmp、sudo 日志和 shell history。建议关闭 root 密码登录,使用普通用户加 sudo,并保留 sudo 命令记录。

关键建议:先在测试环境验证配置,再分批发布到生产环境,并保留回滚方案。

三、Web 访问日志要能关联业务异常

Nginx 或 Apache 日志应至少记录客户端 IP、请求方法、URL、状态码、响应大小、User-Agent、Referer 和请求耗时。遇到网站被篡改或异常上传时,要重点排查后台登录入口、上传接口、管理接口和高频 4xx/5xx 请求。若站点前面有 CDN,需要确认真实 IP 已正确写入日志,否则看到的可能只是回源节点地址。

四、文件变化和计划任务不能忽略

攻击者取得权限后,常见动作包括写入 WebShell、修改启动脚本、添加计划任务、替换 SSH 公钥或创建隐藏用户。建议定期检查 crontab、systemd 服务、/etc/passwd、/etc/sudoers、authorized_keys、网站目录最近修改文件。对核心目录可以使用文件完整性监控,发现异常修改立即告警。

关键建议:先在测试环境验证配置,再分批发布到生产环境,并保留回滚方案。
总结

日志审计的目标不是堆积更多文件,而是保留可关联、可查询、可还原的证据链。八彩云技术文档持续整理云服务器、建站安全和网络安全相关实践,建议把日志保留、远程同步和定期抽查纳入日常运维流程。

img

2026-07-11

本文地址:

八彩云申明:本文内容由互联网用户贡献,该文观点仅代表作者,本站不拥有所有权,不承担相关法律责任。如发现有侵权/违规的内容,请联系我们info@bacaiyun.com。