linux查看ssh失败记录,在Linux中查所有失败的SSH登录尝
试
每次尝试登录到SSH服务器都会被Linux中的rsyslog守护进程跟踪并记录到⽇志⽂件中。 在Linux中列出所有失败的SSH登录尝试的最基本的机制是在cat命令或grep命令的帮助下显⽰和过滤⽇志⽂件的组合。
为了在Linux中显⽰失败的SSH登录列表,请发布本指南中提供的⼀些命令。 确保这些命令是以root权限执⾏的。
列出所有失败的SSH登录名的最简单命令如下所⽰。
# grep "Failed password" /var/log/auth.log
列出所有失败的SSH登录尝试
发出cat命令也可以达到同样的效果。
# cat /var/log/auth.log | grep "Failed password"
为了显⽰有关失败的SSH登录的额外信息,请按照下⾯的⽰例所⽰发出命令。
# egrep "Failed|Failure" /var/log/auth.log
在CentOS或RHEL中 ,失败的SSH会话记录在/ var / log / secure⽂件中。 针对此⽇志⽂件发出上述命令以标识失败的SSH登录名。
# egrep "Failed|Failure" /var/log/secure
在CentOS中查失败的SSH登录
上述命令的稍微修改版本显⽰在CentOS或RHEL中失败的SSH登录如下。
# grep "Failed" /var/log/secure
# grep "authentication failure" /var/log/secure
要显⽰尝试失败登录到SSH服务器的所有IP地址列表以及每个IP地址尝试失败的次数,请发出以下命令。
# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
linux登录命令在较新的Linux发⾏版中,可以通过journalctl命令查询Systemd守护进程维护的运⾏时⽇志⽂件。 为了显⽰所有失败的SSH登录尝试,您应该通过grep过滤器来输出结果,如以下命令⽰例所⽰。
# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #In RHEL, CentOS
在CentOS或RHEL中 ,使⽤sshd.service替换SSH守护程序单元,如下⾯的命令⽰例所⽰。
# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
# journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
在确定了频繁出现在你的SSH服务器上的IP地址,以便⽤可疑的⽤户帐号或⽆效的⽤户帐号登录系统后,你应该更新系统防⽕墙规则来阻⽌失败的SSH尝试 IP地址或者使⽤专门的软件,⽐如fail2ban来管理这些攻击。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论