ubuntu通过/var/log/auth.log文件(centos可能是/var/log/secure文件)可以查看一些关于ssh登陆、sudo命令的信息,如果没有这个文件,可以查看这篇文章《/var/log/auth.log文件不存在》去开启。
auth.log文件特别大,最好以查找的方式打开这个文件,比如我想查看ssh登录失败的日志,可这样输入命令:
grep "Failed password for" /var/log/auth.log
屏幕一直哗啦哗啦不见底,毋容置疑,肯定有孙子在不断地尝试破解我的sshd服务:
使用Ctrl+c强制结束。
面对这种情况,就要从以下几点去预防:
1)修改sshd端口
2)禁止root用户登录,使用不易猜的账户名做登录账户
3)用户登录做好IP限制
4)或使用证书密钥登陆
5)使用iptables工具封杀频繁入侵的IP
grep "Failed password for" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more grep "Failed password for" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more
使用上面两个命令可统计入侵的ip都有哪些。