查询ssh方式登录记录之/var/log/secure

最新推荐文章于 2024-07-03 17:46:38 发布
最新推荐文章于 2024-07-03 17:46:38 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: linux日常问题 文章标签: ssh linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43010385/article/details/112922590
版权
本文介绍了如何通过分析/var/log/secure文件来查看SSH登录失败的记录,特别是关注了登录尝试失败的主机信息。使用`cat /var/log/secure | awk '/^.*(F|f)ailed.*/'`命令筛选出失败的日志,再通过`egrep`提取IP地址,例如11.197.xx.23和11.27.09.80。这些步骤对于监控系统安全和防止未授权访问至关重要。
摘要由CSDN通过智能技术生成

查询ssh方式登录记录之/var/log/secure

对应目录:

>/var/log/secure    #ssh方式登录记录储存于此

日志说明:
在这里插入图片描述

查询ssh登录失败的主机信息:
【log信息】:

Jan 19 00:37:05 kVM20209908-0 sshd[12952]: Failed password for user from 11.197.xx.23 port 41412 ssh2
Jan 19 00:37:10 kVM20209908-0 su: pam_unix(su:session): session opened for user root by (uid=0)
Jan 19 00:37:10 kVM20299908-0 su: pam_unix(su:session): session closed for user root

【命令】:

cat /var/log/secure | awk '/^.*(F|f)ailed.*/
Jan 19 00:12:58 kVM20255208-0 sshd[1932]:  Failed password for wb-china from 11.27.09.80 port 27539 ssh2
Jan 19 00:37:05 kVM20255208-0 sshd[12952]: Failed password for wb-china from 11.27.09.80 port 41412 ssh2
过滤出来IP地址:
cat /var/log/secure | awk '/^.*(F|f)ailed.*/'|egrep "from ([0-9]+\.){3}[0-9]+" -o

过滤出来IP地址:

>cat /var/log/secure | awk '/^.*(F|f)ailed.*/'|egrep "from ([0-9]+\.){3}[0-9]+" -o
hello哦
关注
专栏目录
linux系统/var/log目录下的信息详解
weixin_34366546的博客
02-28 2100
一、/var目录 /var 所有服务的登录的文件或错误信息文件(LOG FILES)都在/var/log下,此外,一些数据库如MySQL则在/var/lib下,还有,用户未读的邮件的默认存放地点为/var/spool/mail 二、:/var/log/ 系统的引导日志:/var/log/boot.log例如:Feb 26 10:40:48 sendmial : sendmail startu...
渗透测试基础 - - - linux入侵排查
weixin_67503304的博客
10-24 2612
本文主要讲述了linxu中如果遭遇网络攻击的排查步骤及其详细的使用方法。
arch linux 密码正确也无法用root登录ssh 提示 Failed password for root from x.x.x.x port xxxx ssh2解决办法
wengek的博客
12-25 1万+
arch linux 无法以root登录ssh解决办法1.检查sshd2.添加用户添加sudo root权限附安装sshd 1.检查sshd 先停止sshd 在启用控制台消息的情况下运行它,以便查看实时运行的日志。 systemctl stop sshd /usr/sbin/sshd -De -f /etc/ssh/sshd_config 如果登录的时候linux控制台提示: Failed password for root from x.x.x.x portxxxx ssh2 那就对了,我找过各种配置
查看ssh登录情况
最新发布
Yonggie的博客
07-03 205
【代码】查看ssh登录情况。
/var/log/secure
Jonathan158的专栏
05-22 6713
按照我个人的理解,/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大,说明有人在破解你的root密码(一般是SSH暴力破解),可以通过这个日志查到对方的IP,每次登陆,无论密码对错都会被详细记录下来,所以文件会很大,解决办法是在/etc/hosts.deny 文件中加入IP,服务器就会拒绝这个IP的SSH登陆,语法: sshd:IP 如果对方频繁换IP,可以用
安全日志:/var/log/secure 详解
weixin_49129782的博客
07-06 9240
安全日志:/var/log/secure /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码,或 爆力破解: [root@localhost ~]# tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 13
cat /etc/pam.d/system-auth cat /etc/pam.d/sshd cat /etc/profile cat /etc/passwd 查看密码 cat /etc/shadow cat /etc/group cat /etc/hosts.equiv cat /etc/hosts.rhosts ps aux |grep telnet ps aux |grep rlogin ps aux |grep ftp cat /etc/group cat /etc/ssh/sshd_config umask ls -l /etc/passwd ls -l /etc/group ls -l /etc/shadow ls -l /etc/xinetd.conf ls -l /etc/sudoers ls -l /etc/httpd.conf ls -l /etc/httpd-mpm.conf ls -l /etc/conf/tomcat-users.xml ls -l /etc/conf/web.xml ls -l /etc/conf/server.xml ls -l /etc/my.cnf ls -l /var/mysqllog/logbin.log ps aux | grep syslogd ps aux | grep rsyslogd service syslog status service rsyslog status ps aux | grep audit service auditd status ps aux |grep ssh ls -l /var/log/messages ls -l /var/log/secure ls -l /var/log/audit/audit.log tail -20 /var/log/messages tail -20 /var/log/audit/audit.log tail -n 20 /var/log/messages tail -n 20 /var/log/audit/audit.log cat /etc/logrotate.conf cat /etc/rsyslog.conf auditctl -s auditctl -l lsof -i:21 lsof -i:22 lsof -i:23 这些命令的意思
07-21
34. `ls -l /var/log/secure`: 显示 `/var/log/secure` 文件的详细信息,该文件包含了安全相关的日志消息。 35. `ls -l /var/log/audit/audit.log`: 显示 `/var/log/audit/audit.log` 文件的详细信息,该文件包含了...
用shell脚本防ssh和vsftpd暴力破解的详解讲解
01-10
脚本需求如下:此SHELL脚本放在crontab计划任务里,每隔6小时(此时间根据实际情况来定义)就去读取/var/log/secure脚本,取出里面恶意猜测IP,如果单位时间内(一星期)的连接数是高于一个阀值,例如100(此阀值也...
ssh 报错individual files in /usr/share/doc/*/copyright.
07-20
这个错误信息通常是由于在使用SSH连接时,服务器端的版权信息...如果以上步骤都没有解决问题,建议您查看系统日志(/var/log/auth.log或/var/log/secure)以获取更多详细的错误信息,并考虑向相关技术支持寻求帮助。
【转载】SSH服务器端/etc/ssh/sshd_conf配置文件详解
weixin_33905756的博客
11-25 1273
[root@u0704-t5-test-shaoew1 ~]$cat /etc/ssh/sshd_config #Port 22 监听端口,默认监听22端口 【默认可修改】 #AddressFamily any IPV4和IPV6协议家族用哪个,any表示二者...
安全日志:/var/log/secure(转载 https://www.cnblogs.com/pzk7788/p/10184740.html)
冬的博客
04-08 1761
安全日志:/var/log/secure** 转自: https://www.cnblogs.com/pzk7788/p/10184740.html /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 [root@localhost ~]$ tail /var/log/secure Dec 27 ...
安全日志:/var/log/secure
weixin_30646505的博客
12-27 672
/var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 [root@localhost ~]$ tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failur...
/var/log/secure和/var/log/messages
qq_44792624的博客
08-02 1016
/var/log/secure 记录用户的登录情况 这里查看文件之前,先登录一下,然后分别输入错的用户和密码再查看一下登录信息 [root@shell ~ 3]# tail -n 10 /var/log/secure #第一行,用户未知,当时随便输的,第二行用户输入的das,我没用创建这个用户所以无效 Aug 2 06:37:33 shell sshd[3220]: pam_unix(sshd:auth): check pass; user unknown Aug 2 06:37:36 shell
查看Linux ssh登录、访问记录
热门推荐
a1084552614的博客
10-20 1万+
在/var/log/secure可以看到登陆的情况 在/var/log/btmp中可以查看到登陆失败的记录(可通过lastb命令进行检查) 在/var/log/lastlog中可以查看最近登陆的记录 (可通过last命令进行检查) 通过who检查当前在线用户 ...
linux /var/log/secure 安全日志
lyyslsw的专栏
01-03 7591
/var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 很多linux的新发行版已经不再使用,改为使用rsyslog。 查看rsyslog的配置目录/etc/rsyslog.d ...
/var/log/secure日志文件——查看系统用户登陆信息
weixin_53389944的博客
04-09 2480
Linux 系统中,可以通过查看登录日志文件来获取用户的登录历史信息和登录失败信息。
Centos 6.4 /var/log/secure 日志不记录问题
weixin_34349320的博客
11-16 1183
先确保日志服务开启;不妨重启下日志服务;由于目前RHEL 6/centos 6已经使用rsyslog替换了syslog.,所以不要在找/etc/syslog.conf了;重启命令:/etc/init.d/rsyslog restart尝试ssh重新登录進行测试,secure有信息了問題解决 本文转自 xinsir999 51CTO博...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值