查看用户登录成功的IP及次数&&查看尝试暴力破解用户名的IP及次数

远程服务器一般需要启用 ssh 远程登录功能。对于 ssh 协议的常见攻击是进行暴力破解。通过查看 log 日志检测服务器是否被暴力破解。

日志位置
不同的linux发行版，关于 ssh 登录的日志信息存储的地方不同：

Debian 和 Ubuntu 存储在 /var/log/auth.log
RedHat 和 CentOS 存储在 /var/log/secure
以 CentOS 为例
查看 root 用户登录成功的IP及次数
看看是否有不熟悉的 IP 地址

grep "Accepted password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
1
查看尝试暴力破解 root 账户的IP及次数
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
1
查看尝试暴力破解用户名的IP及次数
grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more

 

==================================================================================

查看用密码登陆失败的IP地址及次数

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

更改默认端口

sed -i "s/Port .*/Port 你的端口/g" /etc/ssh/sshd_config

更改后重启ssh

#CentOS系统
service sshd restart
#Debian/Ubuntu系统
service ssh restart

 

参考链接：https://blog.csdn.net/m0_47696151/article/details/119910418