要檢查Linux 系統(tǒng)中的登錄失敗嘗試，可通過查看日誌文件和使用專用命令實(shí)現(xiàn)。 1. 在Debian/Ubuntu 系統(tǒng)中，使用grep 過濾/var/log/auth.log 中的"Failed password" 條目；2. 在CentOS/RHEL 系統(tǒng)中，查看/var/log/secure 文件中的類似記錄；3. 使用lastb 命令讀取/var/log/btmp 文件以獲取失敗登錄信息；4. 可選設(shè)置自動(dòng)監(jiān)控，如安裝fail2ban、配置logwatch 或編寫腳本結(jié)合cron 定期檢查並告警。通過這些方法可有效掌握系統(tǒng)安全狀況。

檢查Linux 系統(tǒng)中的登錄失敗嘗試，是日常安全審計(jì)和系統(tǒng)維護(hù)的重要一環(huán)。如果你懷疑有人在嘗試暴力破解你的賬戶密碼，或者只是想了解系統(tǒng)的安全狀況，可以通過幾種常見方式查看失敗的登錄記錄。

查看/var/log/auth.log （適用於Debian/Ubuntu）

在基於Debian 的系統(tǒng)（如Ubuntu）上，所有的認(rèn)證相關(guān)日誌都記錄在/var/log/auth.log文件中。你可以使用grep來過濾出失敗的登錄嘗試：

 grep "Failed password" /var/log/auth.log

這會(huì)顯示所有SSH 登錄失敗的記錄，包括時(shí)間、IP 地址和用戶名等信息。

如果你想找特定用戶的失敗嘗試，可以加一個(gè)額外的grep ：

 grep "Failed password for user your_username" /var/log/auth.log

檢查/var/log/secure （適用於CentOS/RHEL）

在Red Hat 系列的系統(tǒng)（如CentOS、RHEL）上，認(rèn)證日誌通常保存在/var/log/secure文件中。命令類似：

 grep "Failed password" /var/log/secure

同樣地，也可以結(jié)合用戶名進(jìn)行過濾：

 grep "Failed password for user your_username" /var/log/secure

使用lastb命令查看失敗的登錄記錄

lastb是專門用來查看失敗登錄嘗試的命令，它讀取的是/var/log/btmp文件：

 lastb

輸出結(jié)果一般包括用戶名、來源IP 和時(shí)間。如果沒有任何輸出，說明沒有記錄到失敗的登錄嘗試。

注意：這個(gè)文件可能會(huì)積累很多數(shù)據(jù)，建議定期清理或歸檔：

 > /var/log/btmp

但操作前請(qǐng)確保你不需要保留這些記錄用於審計(jì)。

設(shè)置自動(dòng)監(jiān)控與告警（可選）

如果你希望主動(dòng)發(fā)現(xiàn)異常行為，而不是手動(dòng)去查日誌，可以考慮以下方法：

• 安裝fail2ban ：它可以自動(dòng)檢測失敗登錄並封禁IP。
• 配置logwatch 或類似的日誌分析工具：每天發(fā)送一份摘要郵件給你。
• 使用cron 定時(shí)任務(wù)腳本：定期檢查日誌文件中“Failed password”的數(shù)量，超過閾值就發(fā)郵件提醒。

例如寫個(gè)簡單的腳本：

 #!/bin/bash
count=$(grep "Failed password" /var/log/secure | wc -l)
if [ "$count" -gt 10 ]; then
    echo "檢測到大量登錄失敗嘗試！" | mail -s "登錄異常警告" your_email@example.com
fi

然後通過crontab -e添加定時(shí)任務(wù)即可。

基本上就這些方法了。不同的發(fā)行版略有差異，但核心思路一致。關(guān)鍵是養(yǎng)成定期檢查的習(xí)慣，別等到被黑了才想起來看日誌。

以上是如何檢查Linux中的登錄嘗試失?。康脑敿?xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！