SSH(Secure Shell)是 Linux 系统中最常用的远程管理协议之一。在服务器管理中,查看 SSH 日志是一项必备技能。通过分析日志,你可以监控登录活动、排查连接问题,甚至发现潜在的安全威胁。本文将深入讲解如何在 Linux 上查看 SSH 日志,从基础到进阶,一步步引导你掌握这一技能。
什么是 SSH 日志?
SSH 日志是系统记录的与 SSH 服务相关的所有活动的文件,包括:
1. 成功和失败的登录尝试:谁试图登录系统,成功与否。
2. 连接问题:如密码错误、密钥不匹配等原因。
3. 潜在的攻击:如暴力破解尝试或异常活动。
SSH 日志的内容可以帮助管理员:
• 识别授权用户。
• 检测未经授权的访问。
• 排查 SSH 服务配置错误。
常见 SSH 日志文件位置
在不同的 Linux 发行版中,SSH 日志文件存储位置可能会略有不同。以下是常见路径:
1. Debian/Ubuntu 系列:
/var/log/auth.log2. RHEL/CentOS 系列:
/var/log/secure3. 使用 systemd 的系统:
journalctl命令读取。
你可以通过以下命令验证 SSH 服务的日志位置:
sudo grep -i sshd /etc/rsyslog.conf查看 SSH 日志的基础方法
1. 使用 journalctl 查看日志(针对 systemd 系统)
现代 Linux 发行版普遍使用 systemd,SSH 日志可以通过 journalctl 查看。
查看所有 SSH 日志
运行以下命令,获取与 SSH 服务相关的所有日志:
sudo journalctl -u ssh按时间过滤日志
• 最近 5 分钟的日志:
sudo journalctl -u ssh --since -5m• 最近 1 小时的日志:
sudo journalctl -u ssh --since -1h• 过去 3 天的日志:
sudo journalctl -u ssh --since -3d实时查看日志
你可以实时跟踪 SSH 活动:
sudo journalctl -fu ssh按 Ctrl+C 退出实时查看。
2. 使用传统方法查看日志(针对非 systemd 系统)
查看 /var/log/auth.log 或 /var/log/secure
在没有 systemd 的系统中,SSH 日志存储在文件中。使用以下命令读取:
# Debian/Ubuntu 系统
sudo grep sshd /var/log/auth.log
# RHEL/CentOS 系统
sudo grep sshd /var/log/secure使用 tail 实时查看日志
如果你希望实时监控 SSH 日志:
sudo tail -f /var/log/auth.log常用的日志分析工具和命令
1. grep 提取关键字
grep 是分析日志的利器。以下是一些常用示例:
• 提取登录失败的记录:
sudo grep "Failed password" /var/log/auth.log• 提取登录成功的记录:
sudo grep "Accepted" /var/log/auth.log• 提取特定用户的登录活动:
sudo grep "username" /var/log/auth.log2. 使用 last 查看历史登录记录
last 命令显示用户的登录历史:
last3. 使用 lastlog 查看最近登录
lastlog 显示每个用户的最后一次登录:
lastlog4. 使用 w 命令查看当前在线用户
w 显示当前活动用户和会话:
w常见问题
为什么看不到特定登录尝试?
• 防火墙阻止了连接:检查防火墙日志。
• SSH 配置问题:确认
/etc/ssh/sshd_config是否正确配置。
如何减少暴力破解尝试?
服务器暴露在公网时,可能面临大量 SSH 登录尝试。以下方法可以提升安全性:
• 使用 Fail2Ban:
自动封锁重复失败登录的 IP 地址。
sudo apt install fail2ban• 更改默认端口:
在 /etc/ssh/sshd_config 中修改:
Port 2222• 禁用密码登录,启用密钥认证:
修改 /etc/ssh/sshd_config:
PasswordAuthentication no