fail2ban 安全配置
检查 SSH 登录失败的尝试
在Linux系统中,SSH登录尝试(无论成功还是失败)都会被记录在系统的日志文件中。你可以通过查看这些日志文件来检查SSH登录失败的尝试。以下是一些常用的方法和命令:
方法1: 使用 grep
命令查看 /var/log/auth.log
在Debian和Ubuntu系统上,SSH登录尝试通常记录在/var/log/auth.log
文件中。你可以使用grep
命令来过滤出登录失败的尝试:
sudo grep 'Failed password' /var/log/auth.log
这将显示所有包含“Failed password”字符串的行,这通常表示一个登录失败的尝试。
方法2: 使用 journalctl
命令
在使用systemd的系统上,你可以使用journalctl
命令来查看SSH服务的日志:
sudo journalctl -u ssh
要查看登录失败的尝试,你可以使用:
sudo journalctl -u ssh | grep 'Failed password'
方法3: 使用 fail2ban
查看被封禁的IP地址
如果你安装了fail2ban
来保护你的服务器免受暴力破解攻击,你可以使用以下命令查看被fail2ban
封禁的IP地址:
sudo fail2ban-client status sshd
这将显示所有因为多次登录失败而被fail2ban
封禁的IP地址。
注意事项
- 日志文件的位置和名称可能会根据你使用的Linux发行版和配置而有所不同。如果你找不到
/var/log/auth.log
文件,你可能需要检查你的系统配置或查看其他日志文件,如/var/log/secure
(在RHEL和CentOS系统上)。 - 为了查看日志,你需要有足够的权限。这通常意味着你需要使用
sudo
来运行上述命令。 - 如果你的系统配置了日志轮换,旧的日志文件可能会被压缩并存储在相同目录下,文件名类似于
auth.log.1.gz
。你可以使用zgrep
命令来查看这些压缩的日志文件。