在Linux系统中,可以通过查看相关的日志文件来追踪失败的登录尝试。以下是一些常用的方法:
/var/log/auth.log 文件(适用于Debian/Ubuntu系统):
这个文件记录了与身份验证相关的所有事件,包括成功的和失败的登录尝试。你可以使用以下命令查看失败的登录尝试:grep 'failed' /var/log/auth.log
或者使用 lastb 命令查看失败的登录尝试:
lastb
/var/log/secure 文件(适用于RHEL/CentOS/Fedora系统):
这个文件也记录了与身份验证相关的事件。你可以使用以下命令查看失败的登录尝试:grep 'failed' /var/log/secure
或者使用 lastb 命令查看失败的登录尝试:
lastb
fail2ban 工具:
fail2ban 是一个用于防止暴力破解攻击的工具,它可以监控日志文件中的失败登录尝试,并根据配置的规则自动封禁恶意IP地址。要安装并配置 fail2ban,请按照以下步骤操作:fail2ban:# 对于Debian/Ubuntu系统
sudo apt-get install fail2ban
# 对于RHEL/CentOS/Fedora系统
sudo yum install fail2ban
fail2ban 配置文件:sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
jail.local 文件中,找到 [DEFAULT] 部分,设置以下参数:bantime = 600
maxretry = 3
这表示封禁时间为600秒(10分钟),允许的最大失败尝试次数为3次。
jail.local 文件中,添加一个新的部分,用于指定要监控的日志文件和封禁策略:[sshd]
enabled = true
filter = sshd
action = iptables-multiport[name=SSH, port="ssh", protocol=tcp]
logpath = /var/log/auth.log
这里,我们监控 /var/log/auth.log 文件,并在检测到3次失败尝试后封禁IP地址。
fail2ban 服务:sudo systemctl restart fail2ban
现在,fail2ban 将开始监控日志文件中的失败登录尝试,并根据配置的规则自动封禁恶意IP地址。