用户身份认证是网络安全的重要组成部分,对用户登录尝试行为的审计,是识别可疑操作的关键环节。
登录失败通常由以下两种情况引发:
用户提供的身份凭证无效
用户不具备访问特定资源的登录权限
当用户通过 SSH 远程连接系统,或使用 su 命令切换用户身份时产生的登录失败事件,属于需要重点监控的内容。这类事件可能预示着有人正在尝试非法入侵系统。
本文将详细介绍查看 SSH 登录失败记录的具体方法。
查看 SSH 登录失败记录的操作步骤
可插拔认证模块(PAM)会记录此类身份认证事件,借助模块生成的日志,能够有效识别恶意登录行为与异常访问操作。
以下是一则登录失败的日志示例:
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2
Failed password for invalid user robert from 10.0.2.2 port 4791 ssh2
pam_unix(sshd:auth): check pass; user unknown
PAM service(sshd) ignoring max retries; 6 > 3为了高效排查问题,管理员需要快速定位所有此类关键登录事件,并采取对应的处置措施。
下文列出了查询所有 SSH 登录失败记录的操作步骤:
列出所有 SSH 登录失败记录的基础命令:
grep "Failed password" /var/log/auth.log
也可以通过 cat 命令实现相同效果:
cat /var/log/auth.log | grep "Failed password"
如需显示 SSH 登录失败的更多相关信息,可执行以下命令:
egrep "Failed|Failure" /var/log/auth.log
如需列出所有尝试登录 SSH 服务器但失败的客户端 IP 地址,可执行以下命令:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | uniq -c | sort -nr
尽管分析上述事件的操作看似简单,但手动执行所有相关步骤耗时又费力。借助专业的日志管理解决方案,能够更便捷地分析 SSH 登录失败尝试行为。