CentOS dmesg日志中的常见安全信息类型及示例
dmesg会记录用户登录系统的尝试信息,包括成功与失败的尝试,是识别未经授权访问的重要线索。
sshd[进程ID]: Failed password for [用户名] from [IP地址],例如sshd[12345]: Failed password for invalid user testuser from 192.168.1.1,提示某IP地址的某用户尝试用错误密码登录系统。Permission denied信息,例如普通用户尝试修改系统关键文件时的拒绝提示。PAM(可插拔认证模块)是Linux系统认证的核心组件,其失败事件会被内核记录,可能暗示攻击者正在尝试破解密码或滥用认证机制。
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1,表示SSH认证失败,需结合多次失败记录判断是否为暴力破解。SELinux(安全增强型Linux)通过强制访问控制(MAC)限制进程权限,其拒绝访问的事件会被内核记录,有助于发现潜在的安全违规。
audit(时间戳): AVC apparmor="DENIED" operation="open" profile="usr.sbin.httpd" name="/etc/httpd/conf/httpd.conf" pid=进程ID comm="httpd",表示Apache进程(httpd)试图访问/etc/httpd/conf/httpd.conf文件但被SELinux拒绝,需检查SELinux策略是否合理。防火墙(如iptables/nftables)规则的动态修改可能影响系统安全策略,dmesg会记录规则的添加、删除或修改操作。
iptables: Adding rule INPUT -p tcp --dport 22 -j ACCEPT,表示添加了一条允许TCP端口22(SSH)入站的规则,若此操作非管理员手动执行,可能存在恶意修改防火墙策略的风险。用户或组的创建、删除、权限修改等操作会被内核记录,异常的账户变更可能是恶意活动的迹象(如创建隐藏账户)。
useradd newuser(新增用户)、groupmod -g 0 attackers(将attackers组的GID改为0,获得root权限)、chmod 777 /etc/passwd(修改passwd文件权限为全局可写),这些操作均会在dmesg中留下痕迹。内核运行时会检测到违反安全策略的行为(如非法系统调用、驱动程序异常),并通过dmesg发出警告。
kernel: [时间戳] general protection fault: 0000 [#1] SMP,表示发生了通用保护故障,可能是驱动程序或内核模块的bug导致的,需警惕恶意代码利用漏洞;kernel: [时间戳] stack trace: ...,伴随堆栈跟踪信息,帮助定位触发安全策略的具体原因。驱动程序或硬件故障可能引发安全问题(如硬件漏洞、驱动越界访问),dmesg会记录相关错误。
usb 1-1: device descriptor read/64, error -110,表示USB设备通信错误,可能是硬件故障或恶意USB设备(如BadUSB)导致的;drm:drm_edid_block_valid: EDID checksum is invalid,表示显示器EDID校验失败,可能被篡改以实施视觉攻击。