查看登录失败次数
# 查看登录失败 (尝试攻击的情况)
sudo grep 'Failed password' /var/log/auth.log | awk '{print $1,$2}' | uniq -c
# 查看登录成功的情况
sudo grep 'session opened for user' /var/log/auth.log | awk '{print $1,$2}' | uniq -c
实况
基本上时时刻刻有人在尝试登陆,前天 8k 多次失败访问。
可怕的来了,登陆成功的情况也很多。
尝试解决
- 开 file2ban 应该问题不大
- sudo apt update && sudo apt install fail2ban && systemctl status fail2ban.service
- head -20 /etc/fail2ban/jail.conf
- fail2ban-client --help
- 开的机器用户名默认不是 root,登录也只能通过 ssh key
想法
- 做个脚本跑个定时任务,当
尝试次数过多或者登录次数过多的时候就发个邮件过来提醒。