本文介绍如何在Linux系统中追踪失败的ssh登录尝试。不同Linux发行版保存日志的位置略有不同,Debian/Ubuntu系统通常在/var/log/auth.log,而RHEL/centos系统则在/var/log/secure。
方法一:使用文本编辑器
- 打开终端。
- 使用sudo权限打开相应的日志文件,例如在Ubuntu系统中: sudo nano /var/log/auth.log 或在CentOS系统中: sudo nano /var/log/secure。
- 使用编辑器的搜索功能(通常是/键),搜索关键词”Failed”或”authentication failed”来查找失败的登录记录。
方法二:使用grep命令
grep命令提供更强大的搜索功能。 在终端输入以下命令,即可筛选出包含”Failed”字样的日志行:
- Ubuntu/Debian: sudo grep “Failed” /var/log/auth.log
- RHEL/CentOS: sudo grep “Failed” /var/log/secure
为了更精准的定位,可以使用-n选项显示行号,或-C选项显示上下文信息:
- 显示行号:sudo grep -n “Failed” /var/log/auth.log
- 显示上下文:sudo grep -C 5 “Failed” /var/log/auth.log (显示匹配行前后5行)
通过以上方法,您可以快速有效地定位并分析Linux系统中失败的SSH登录尝试,及时发现并解决潜在的安全问题。
