查看 SSH 登录失败日志

1. 查看 SSH 登录失败日志

• 在大多数 Linux 发行版（CentOS、Ubuntu、Debian 等），SSH 登录信息记录在：

  • /var/log/auth.log（Debian/Ubuntu）

  • /var/log/secure（CentOS/RHEL）

• 常见命令：

   

  # 查看失败的登录尝试
  grep "Failed password" /var/log/auth.log
  grep "Failed password" /var/log/secure
  
  # 查看非法用户尝试
  grep "Invalid user" /var/log/auth.log

 

🔍 2. 统计失败次数和来源 IP

# 统计失败次数最多的 IP
grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head

# 统计尝试的用户名
grep "Failed password" /var/log/secure | awk '{print $(NF-5)}' | sort | uniq -c | sort -nr | head

这样你能看到哪些 IP 在疯狂尝试，以及它们试的用户名。

 

🔍 3. 查看成功登录记录

grep "Accepted password" /var/log/secure
grep "Accepted publickey" /var/log/secure

确认是否有异常的成功登录。

 

🔍 4. 实时监控

如果你怀疑正在被暴力尝试，可以实时跟踪：

tail -f /var/log/secure

会不断打印出尝试登录的记录。