本文介绍几种在Linux系统中查看登录IP地址的方法,适用于不同类型的认证系统。
方法一:检查系统日志 (PAM认证系统,例如Ubuntu和Debian)
对于使用PAM认证的系统,您可以查看/var/log/auth.log日志文件:
此命令会显示所有SSH登录失败尝试,包括尝试登录的IP地址。 请注意,这只会显示失败的登录尝试。
方法二:检查系统日志 (Syslog认证系统,例如centos和RHEL)
如果您的系统使用Syslog认证(例如CentOS和RHEL),则需要查看/var/log/secure日志文件:
sudo cat /var/log/secure | grep 'sshd.*Failed password'
同样,此命令显示SSH登录失败尝试,包括尝试登录的IP地址,仅显示失败的登录尝试。
方法三:查看systemd日志 (systemd-logind认证系统)
部分系统使用systemd-logind认证,您可以检查/var/run/auth.log日志文件:
sudo cat /var/run/auth.log | grep 'Accepted password'
这将显示所有成功的登录尝试,包括用户名和IP地址。
方法四:使用last命令查看最近登录记录
last命令提供最近登录的简要信息:
last
此命令会显示最近的登录记录,包括用户名、登录时间和IP地址。
重要提示: 以上所有命令都需要root权限才能执行。如果没有root权限,请在命令前添加sudo。 日志文件内容庞大,可以使用更精细的grep命令过滤信息,例如指定用户名或时间范围。 此外,请注意日志文件的轮转机制,过期的日志文件可能已被删除。
