lastb（统计）登录失败次数

封面图 • 2025-10-16 • Linux

`lastb` 是 Linux 系统中用于查看**失败登录尝试**的命令，它会显示用户尝试登录系统但失败的记录。这个命令通常用于安全审计、检测暴力破解攻击等。

---

## 📌 `lastb` 命令简介

- **作用**：显示所有**失败的 SSH 登录尝试**（以及其他服务的失败登录）。
- **来源**：依赖于 `/var/log/btmp` 文件，该文件记录了失败的登录信息。
- **权限要求**：通常需要 root 权限才能查看完整信息。

---

## ✅ 使用方法

### 1. 查看所有失败登录记录
```bash
sudo lastb
```

输出示例：
```
user1     ssh:notty    192.168.1.100   Fri Apr  5 10:03:45 +0800 2024
user2     ssh:notty    192.168.1.101   Fri Apr  5 10:04:12 +0800 2024
```

### 2. 查看某用户的失败登录记录
```bash
sudo lastb | grep 'username'
```

### 3. 查看最近的失败登录
```bash
sudo lastb -n 10
```

### 4. 查看详细信息（包括 IP 地址和时间）
默认情况下 `lastb` 已经显示这些信息，但可以结合 `grep` 或 `awk` 进行过滤。

---

## 🧠 注意事项

- `lastb` 只能查看**SSH 登录失败**的信息（如通过 `sshd` 尝试登录失败），其他服务（如 FTP、Telnet）的失败登录可能不会被记录到 `/var/log/btmp` 中。
- 如果你发现大量失败登录，可能是**暴力破解攻击**，建议检查 `/var/log/auth.log`（或 `/var/log/secure` 在某些系统上）以获取更多细节。
- 如果没有看到任何内容，可能是因为：
  - 没有失败登录。
  - `/var/log/btmp` 文件不存在或损坏。
  - SSH 配置中未启用失败登录日志记录（一般默认是开启的）。

---

## 🔁 如何清除 `lastb` 记录？

如果你想要清空失败登录记录：

```bash
sudo > /var/log/btmp
```

> ⚠️ 警告：清空日志可能会掩盖潜在的安全问题，建议仅在必要时使用。

---

## 🔒 安全建议

- 使用 `fail2ban` 等工具自动封禁频繁失败登录的 IP。
- 修改 SSH 默认端口（如 22 → 2222）以减少攻击面。
- 使用密钥认证代替密码登录。
- 定期检查 `/var/log/auth.log` 和 `/var/log/btmp` 文件。

---

如果你需要我帮你分析某个系统的 `lastb` 输出，也可以贴出来，我可以帮你解读。