如何分析 Linux 系统登录失败事件

用户身份认证是网络安全的重要组成部分,对用户登录尝试行为的审计,是识别可疑操作的关键环节。

登录失败通常由以下两种情况引发:

用户提供的身份凭证无效

用户不具备访问特定资源的登录权限

当用户通过 SSH 远程连接系统,或使用 su 命令切换用户身份时产生的登录失败事件,属于需要重点监控的内容。这类事件可能预示着有人正在尝试非法入侵系统。

本文将详细介绍查看 SSH 登录失败记录的具体方法。

查看 SSH 登录失败记录的操作步骤

可插拔认证模块(PAM)会记录此类身份认证事件,借助模块生成的日志,能够有效识别恶意登录行为与异常访问操作。

以下是一则登录失败的日志示例:

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2

复制代码
        Failed password for invalid user robert from 10.0.2.2 port 4791 ssh2
        pam_unix(sshd:auth): check pass; user unknown
        PAM service(sshd) ignoring max retries; 6 > 3

为了高效排查问题,管理员需要快速定位所有此类关键登录事件,并采取对应的处置措施。

下文列出了查询所有 SSH 登录失败记录的操作步骤:

列出所有 SSH 登录失败记录的基础命令:

grep "Failed password" /var/log/auth.log

也可以通过 cat 命令实现相同效果:

cat /var/log/auth.log | grep "Failed password"

如需显示 SSH 登录失败的更多相关信息,可执行以下命令:

egrep "Failed|Failure" /var/log/auth.log

如需列出所有尝试登录 SSH 服务器但失败的客户端 IP 地址,可执行以下命令:

grep "Failed password" /var/log/auth.log | awk '{print $11}' | uniq -c | sort -nr

尽管分析上述事件的操作看似简单,但手动执行所有相关步骤耗时又费力。借助专业的日志管理解决方案,能够更便捷地分析 SSH 登录失败尝试行为。

相关推荐
阿里云大数据AI技术2 小时前
阿里云 EMR AI 助手正式发布:从问答工具到全栈智能运维助手
运维·人工智能
你好潘先生8 小时前
别再记命令了,用 yeero do 说句人话就能跑脚本,而且不烧 token
服务器·python·命令行
orion5719 小时前
Missing Semester Class1:course overview and introduction of shell
linux
SkyWalking中文站1 天前
认识 Horizon UI · 6/17:Trace 探索器
运维·监控·自动化运维
用户120487221611 天前
Linux驱动编译与加载
linux·嵌入式
程序员老赵1 天前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
火车叼位1 天前
写给初级开发者:SSL、SSH、HTTPS 与证书体系全解析
运维
vivo互联网技术1 天前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
用户805533698031 天前
Input 子系统架构:Core、Handler、Driver 三层是怎么协作的
linux·嵌入式