LINUX怎么查看登录失败的尝试记录_Linux查看登录失败记录方法

首先使用faillog命令查看登录失败记录，再通过分析/var/log/auth.log和lastb命令获取详细认证失败信息，最后可配置auditd服务实现精细化登录行为审计。

如果您发现系统可能存在异常登录行为，需要排查未经授权的访问尝试，则可以通过检查系统日志来获取登录失败的记录。这些信息通常由认证服务（如PAM）记录在特定的日志文件中。

本文运行环境：Dell XPS 13，Ubuntu 22.04

一、使用faillog命令查看失败登录记录

faillog命令专门用于显示用户登录失败的历史记录，它读取的是/var/log/faillog二进制文件，能够快速展示失败尝试的时间和次数。

1、打开终端，输入sudo faillog -a，查看所有用户的登录失败记录。

2、若只想查看特定用户的失败记录，执行sudo faillog -u username，将username替换为实际用户名。

3、可使用sudo faillog -r重置某个用户的失败计数。

二、分析/var/log/auth.log日志文件

/var/log/auth.log是Linux系统中记录认证活动的核心日志文件，包含SSH登录失败、su权限切换失败等详细信息。

1、使用命令sudo grep "Failed" /var/log/auth.log筛选出所有包含“Failed”的行。

2、结合grep的上下文选项，执行sudo grep -i "failure\|failed" /var/log/auth.log以不区分大小写方式查找失败条目。

3、通过添加-A 3参数显示匹配行及其后三行内容，帮助理解上下文：sudo grep -i "Failed password" /var/log/auth.log -A 3。

千图设计室AI海报

千图网旗下的智能海报在线设计平台

227

查看详情

三、查看lastb命令输出的失败登录事件

lastb命令用于显示最近的登录失败记录，其数据来源于/var/log/btmp文件，适用于追踪暴力破解行为。

1、运行sudo lastb查看所有失败的登录尝试，包括用户名、源IP地址和时间。

2、若需限制输出数量，可加上数字参数，例如sudo lastb | head -10仅显示前10条记录。

3、确保/var/log/btmp文件存在且未被清空，否则lastb将无输出结果。

四、启用并配置auditd审计服务记录登录行为

auditd是Linux的内核级审计工具，可以主动监控登录相关的系统调用，提供更精细的失败记录能力。

1、安装auditd服务：sudo apt install auditd（Debian/Ubuntu系统）。

2、添加审计规则监控sshd相关活动：sudo auditctl -w /usr/sbin/sshd -p x -k ssh_login_attempts。

3、重启服务后，使用ausearch -k ssh_login_attempts查询与该规则匹配的所有事件。

以上就是LINUX怎么查看登录失败的尝试记录_Linux查看登录失败记录方法的详细内容，更多请关注php中文网其它相关文章！