Ubuntu SSH日志查看与分析 - 问答

命令行查看
- 使用 journalctl（适用于systemd系统）：
  sudo journalctl -u sshd（查看SSH服务日志）
  可添加时间参数，如 --since "2025-01-01" 限制时间范围。
- 查看日志文件：
  sudo cat /var/log/auth.log | grep sshd（过滤SSH相关日志）
  实时监控：sudo tail -f /var/log/auth.log | grep sshd。
图形化工具
- 使用 less 或 more 分页查看：sudo less /var/log/auth.log。

常见日志类型
- 登录成功：Accepted password for user from IP。
- 登录失败：Failed password for user from IP（可判断暴力破解）。
- 权限问题：Authentication refused: bad ownership（密钥权限异常）。
- 连接异常：Connection closed by IP（可能因防火墙或服务配置）。
分析命令示例
- 统计失败登录次数最多的IP：
  sudo grep 'Failed password' /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10。
- 提取特定时间段（如1小时内）的登录记录：
  sudo awk '/sshd.*Accepted/ && $3 ~ /[0-9]{2}:[0-9]{2}/ {if ($3 >= "10:00" && $3 <= "11:00") print $0}' /var/log/auth.log。
安全风险识别
- 短时间内大量失败登录尝试可能为暴力破解，需结合IP封禁（如使用 ufw 或 iptables）。
- 非授权IP的登录成功记录需核查用户权限及 sshd_config 中的 AllowUsers 配置。
- 密钥认证失败需检查 ~/.ssh/authorized_keys 文件权限（应为600）及密钥格式。

系统默认通过 logrotate 每周轮转压缩日志（文件名含 .1.gz 等后缀），可通过以下命令查看配置：
cat /etc/logrotate.d/rsyslog | grep auth.log。
手动清理旧日志：
sudo rm /var/log/auth.log.*.gz（谨慎操作，建议先备份）。

参考来源：

0 赞

0 踩