fail2ban 安全配置

检查 SSH 登录失败的尝试

在Linux系统中，SSH登录尝试（无论成功还是失败）都会被记录在系统的日志文件中。你可以通过查看这些日志文件来检查SSH登录失败的尝试。以下是一些常用的方法和命令：

方法1: 使用 grep 命令查看 /var/log/auth.log

在Debian和Ubuntu系统上，SSH登录尝试通常记录在/var/log/auth.log文件中。你可以使用grep命令来过滤出登录失败的尝试：

sudo grep 'Failed password' /var/log/auth.log

这将显示所有包含“Failed password”字符串的行，这通常表示一个登录失败的尝试。

方法2: 使用 journalctl 命令

在使用systemd的系统上，你可以使用journalctl命令来查看SSH服务的日志：

sudo journalctl -u ssh

要查看登录失败的尝试，你可以使用：

sudo journalctl -u ssh | grep 'Failed password'

方法3: 使用 fail2ban 查看被封禁的IP地址

如果你安装了fail2ban来保护你的服务器免受暴力破解攻击，你可以使用以下命令查看被fail2ban封禁的IP地址：

sudo fail2ban-client status sshd

这将显示所有因为多次登录失败而被fail2ban封禁的IP地址。

日志文件的位置和名称可能会根据你使用的Linux发行版和配置而有所不同。如果你找不到/var/log/auth.log文件，你可能需要检查你的系统配置或查看其他日志文件，如/var/log/secure（在RHEL和CentOS系统上）。
为了查看日志，你需要有足够的权限。这通常意味着你需要使用sudo来运行上述命令。
如果你的系统配置了日志轮换，旧的日志文件可能会被压缩并存储在相同目录下，文件名类似于auth.log.1.gz。你可以使用zgrep命令来查看这些压缩的日志文件。