SSh登陆失败的日志查看

ubuntu通过/var/log/auth.log文件（centos可能是/var/log/secure文件）可以查看一些关于ssh登陆、sudo命令的信息，如果没有这个文件，可以查看这篇文章《/var/log/auth.log文件不存在》去开启。

auth.log文件特别大，最好以查找的方式打开这个文件，比如我想查看ssh登录失败的日志，可这样输入命令：

grep "Failed password for" /var/log/auth.log

屏幕一直哗啦哗啦不见底，毋容置疑，肯定有孙子在不断地尝试破解我的sshd服务：

使用Ctrl+c强制结束。

面对这种情况，就要从以下几点去预防：

1）修改sshd端口

2）禁止root用户登录，使用不易猜的账户名做登录账户

3）用户登录做好IP限制

4）或使用证书密钥登陆

5）使用iptables工具封杀频繁入侵的IP

grep "Failed password for" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
grep "Failed password for" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more

使用上面两个命令可统计入侵的ip都有哪些。