要查看linux用户登录失败记录,主要使用faillog命令并结合其他工具。1. 使用sudo faillog查看所有用户的失败登录次数及时间;2. 用sudo faillog -u username查看特定用户的失败记录;3. 结合lastb命令或awk过滤指定时间段的失败尝试;4. 通过sudo faillog -u username -r重置失败计数器。但faillog有局限,如不记录ssh密钥失败、依赖pam配置。此外,可分析/var/log/auth.log或/var/log/secure文件,用grep搜索“failed password”等关键词,或用lastb查看btmp日志。还可部署fail2ban自动封禁恶意ip,使用ossec、logwatch进行安全监控,或配置auditd审计系统记录登录失败事件。确保pam正确配置pam_faillock.so模块以支持faillog功能,并注意日志轮转可能导致记录丢失。
查看Linux用户登录失败记录,通常可以通过faillog命令,结合其他日志分析工具来实现。faillog可以报告用户的登录失败尝试,但它不是唯一的工具,理解其局限性也很重要。
解决方案
使用faillog命令查看登录失败记录:
查看所有用户的失败登录尝试:
sudo faillog
这将显示所有用户的登录失败次数和最后一次失败登录的时间。你需要sudo权限,因为它访问的是系统安全信息。
查看特定用户的失败登录尝试:
sudo faillog -u username
将username替换为你要查看的实际用户名。
查看指定时间内失败登录的尝试:
faillog 本身没有直接指定时间范围的选项。需要结合其他工具。
可以考虑使用lastb命令,它显示btmp文件中的登录失败记录。例如:
lastb | grep username
或者,结合awk命令来过滤特定时间段内的记录。
重置用户的失败登录计数器:
sudo faillog -u username -r
这将重置指定用户的失败登录计数器。
faillog 的局限性:
faillog 主要跟踪的是通过标准登录程序(例如,login)进行的失败尝试。它可能不会记录所有类型的失败登录,例如,通过SSH密钥认证失败的尝试可能不会被直接记录。faillog 依赖于PAM (Pluggable Authentication Modules) 的配置。如果PAM配置不正确,faillog 可能无法正常工作。除了faillog,还可以查看以下日志文件:
/var/log/auth.log 或 /var/log/secure:这些文件通常记录了更详细的认证信息,包括成功和失败的登录尝试。可以使用grep、awk等工具来搜索特定的失败登录事件。
grep "Failed password" /var/log/auth.log
/var/log/btmp:这个文件记录了错误的登录尝试。可以使用lastb命令查看。
faillog 不显示完整信息的原因有很多,它依赖于 PAM 配置,并且只记录某些类型的登录失败。此外,faillog 的数据可能被轮转或清除,导致历史记录丢失。为了更全面地监控登录失败,需要结合其他日志文件和安全工具。
PAM配置是关键。如果PAM没有正确配置来记录失败的登录尝试,faillog 就不会有任何数据。检查 /etc/pam.d/ 目录下的相关配置文件,确保它们包含了记录登录失败的模块。
日志轮转也可能导致数据丢失。系统通常会定期轮转日志文件,旧的日志会被压缩或删除。如果失败的登录尝试发生在日志轮转之前,那么这些记录可能已经丢失。
配置PAM以确保faillog正常工作,通常涉及修改/etc/pam.d/目录下的相关配置文件。以下是一些常见的配置步骤:
找到相关的PAM配置文件:
通常,需要修改的配置文件包括login、sshd等,具体取决于你想要监控的登录方式。
确保pam_faillock.so模块被正确配置:
pam_faillock.so模块负责记录登录失败的尝试。在配置文件中,需要确保该模块被正确配置。例如:
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=300 auth sufficient pam_unix.so try_first_pass likeauth nullok audit auth required pam_faillock.so authfail audit deny=5 unlock_time=300 account required pam_unix.so account required pam_faillock.so
preauth:在认证之前执行,用于设置失败计数器的初始状态。authfail:在认证失败时执行,用于增加失败计数器。deny=5:表示在5次失败尝试后,锁定账户。unlock_time=300:表示锁定时间为300秒(5分钟)。这些参数可以根据实际需求进行调整。
确保pam_unix.so模块被正确配置:
pam_unix.so模块负责处理基于Unix密码的认证。确保它在pam_faillock.so之前被调用。
重启相关的服务:
修改PAM配置文件后,需要重启相关的服务才能使配置生效。例如,重启SSH服务:
sudo systemctl restart sshd
或者,重新启动login服务。
分析/var/log/auth.log或/var/log/secure文件,可以使用grep、awk、sed等工具来搜索和过滤特定的登录事件。以下是一些常见的分析技巧:
搜索失败的密码尝试:
grep "Failed password" /var/log/auth.log
这将显示所有包含"Failed password"的行,通常表示有用户尝试使用错误的密码登录。
按用户名过滤失败的登录尝试:
grep "Failed password for invalid user" /var/log/auth.log | grep username
将username替换为你要查找的实际用户名。
统计特定IP地址的失败登录尝试:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr这个命令会提取所有失败密码尝试的IP地址,并统计每个IP地址出现的次数,然后按次数降序排列。
查找SSH登录成功的记录:
grep "Accepted password for" /var/log/auth.log
这将显示所有SSH登录成功的记录。
查找特定的错误消息:
如果知道特定的错误消息,可以使用grep来搜索包含该消息的行。例如:
grep "Invalid user" /var/log/auth.log
这将显示所有包含"Invalid user"的行,表示有用户尝试使用不存在的用户名登录。
使用awk提取特定字段:
awk可以用来提取日志文件中的特定字段。例如,提取登录失败的用户名和IP地址:
grep "Failed password" /var/log/auth.log | awk '{print $9, $11}'这将显示失败登录的用户名(第9个字段)和IP地址(第11个字段)。
除了faillog和分析auth.log,还有一些其他方法可以监控Linux用户登录失败:
使用lastb命令:
lastb命令显示btmp文件中的登录失败记录。
lastb
lastb命令提供了一种快速查看登录失败尝试的方法。
使用Fail2ban:
Fail2ban是一个入侵防御框架,它可以监控日志文件中的登录失败尝试,并自动阻止恶意IP地址。Fail2ban可以配置为监控各种服务,包括SSH、FTP等。
Fail2ban通过分析日志文件,识别出恶意IP地址,并使用iptables或其他防火墙工具来阻止这些IP地址的访问。
使用OSSEC:
OSSEC是一个开源的HIDS(主机入侵检测系统),它可以监控系统日志、文件完整性、rootkit等。OSSEC可以配置为监控登录失败事件,并发送警报。
使用Logwatch:
Logwatch是一个可定制的日志分析工具,它可以分析系统日志,并生成摘要报告。Logwatch可以配置为监控登录失败事件,并在报告中突出显示。
使用auditd:
auditd是Linux审计系统,它可以记录系统上的各种事件,包括登录失败尝试。auditd可以配置为记录详细的审计信息,但需要进行适当的配置才能使用。
sudo auditctl -w /var/log/auth.log -p wa -k login_failures
然后,可以使用ausearch命令来搜索审计记录。
sudo ausearch -k login_failures
选择哪种方法取决于你的具体需求和安全策略。Fail2ban适合于自动阻止恶意IP地址,而OSSEC和Logwatch适合于更全面的安全监控。
以上就是如何查看Linux用户登录失败记录 faillog命令使用详解的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
410
收藏
取消收藏
