首先使用faillog命令查看登录失败记录,再通过分析/var/log/auth.log和lastb命令获取详细认证失败信息,最后可配置auditd服务实现精细化登录行为审计。
如果您发现系统可能存在异常登录行为,需要排查未经授权的访问尝试,则可以通过检查系统日志来获取登录失败的记录。这些信息通常由认证服务(如PAM)记录在特定的日志文件中。
本文运行环境:Dell XPS 13,Ubuntu 22.04
一、使用faillog命令查看失败登录记录
faillog命令专门用于显示用户登录失败的历史记录,它读取的是/var/log/faillog二进制文件,能够快速展示失败尝试的时间和次数。
1、打开终端,输入sudo faillog -a,查看所有用户的登录失败记录。
2、若只想查看特定用户的失败记录,执行sudo faillog -u username,将username替换为实际用户名。
3、可使用sudo faillog -r重置某个用户的失败计数。
二、分析/var/log/auth.log日志文件
/var/log/auth.log是Linux系统中记录认证活动的核心日志文件,包含SSH登录失败、su权限切换失败等详细信息。
1、使用命令sudo grep “Failed” /var/log/auth.log筛选出所有包含“Failed”的行。
2、结合grep的上下文选项,执行sudo grep -i “failure|failed” /var/log/auth.log以不区分大小写方式查找失败条目。
3、通过添加-A 3参数显示匹配行及其后三行内容,帮助理解上下文:sudo grep -i “Failed password” /var/log/auth.log -A 3。
三、查看lastb命令输出的失败登录事件
lastb命令用于显示最近的登录失败记录,其数据来源于/var/log/btmp文件,适用于追踪暴力破解行为。
1、运行sudo lastb查看所有失败的登录尝试,包括用户名、源IP地址和时间。
2、若需限制输出数量,可加上数字参数,例如sudo lastb | head -10仅显示前10条记录。
3、确保/var/log/btmp文件存在且未被清空,否则lastb将无输出结果。
四、启用并配置auditd审计服务记录登录行为
auditd是Linux的内核级审计工具,可以主动监控登录相关的系统调用,提供更精细的失败记录能力。
1、安装auditd服务:sudo apt install auditd(Debian/Ubuntu系统)。
2、添加审计规则监控sshd相关活动:sudo auditctl -w /usr/sbin/sshd -p x -k ssh_login_attempts。
3、重启服务后,使用ausearch -k ssh_login_attempts查询与该规则匹配的所有事件。
以上就是LINUX怎么查看登录失败的尝试记录_Linux查看登录失败记录方法的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/202086.html
微信扫一扫 
支付宝扫一扫 
