如何跟踪失败的SSH登录尝试？

所有登录尝试都记录到/var/log/auth.log。

1.过滤蛮力交互式SSH登录

打开一个终端，然后输入以下内容；如果超过一页，您将可以上下滚动；输入q退出：

grep sshd.\*Failed /var/log/auth.log | less

• 这是我的一个VPS的真实示例：

  年08月18十一时00分57秒的sshd izxvps [5657]：从95.58.255.62端口无法用于根密码38980 SSH2
  年08月18个23点08分26秒的sshd izxvps [5768]：无法密码根从91.205.189.15端口38156 SSH2
  年08月18 23:08:30 izxvps sshd [5770]：来自91.205.189.15端口38556 ssh2的
  用户密码失败八月23:08:34 izxvps sshd [5772]：来自91.205.189.15端口38864 ssh2的无效用户星号失败的密码
  8月18日23:08:38 izxvps sshd [5774]：来自91.205.189.15端口39157 ssh2的无效用户sjobeck密码失败
  8月18日：23：08：42 izxvps sshd [5776]：来自91.205.189.15端口39467 ssh2的root用户密码失败
  

2.查找失败的连接（即未尝试登录，可能是端口扫描器等）：

使用此命令：

grep sshd.*Did /var/log/auth.log | less

• 例子：

  8月5日22:19:10 izxvps sshd [7748]：未从70.91.222.121接收到标识字符串。
  8月10日19:39:49 izxvps sshd [1919]：未从50.57.1​​68.154 
  8月13日23:08接收到标识字符串： 04 izxvps sshd [3562]：未从87.216.241.19 
  Aug 17 15:49:07接收到标识字符串izxvps sshd [5350]：未从211.22.67.238 
  Aug 19 06:28:43接收到标识字符串：未收到来自59.151.37.10的标识字符串
  

如何减少失败/暴力登录尝试

• 尝试将SSH从默认的22切换到非标准端口
• 或安装自动禁止脚本，例如fail2ban。