lastb(统计)登录失败次数
封面图
•
2025-10-16
•
Linux
438
0
0
0
`lastb` 是 Linux 系统中用于查看**失败登录尝试**的命令,它会显示用户尝试登录系统但失败的记录。这个命令通常用于安全审计、检测暴力破解攻击等。 --- ## 📌 `lastb` 命令简介 - **作用**:显示所有**失败的 SSH 登录尝试**(以及其他服务的失败登录)。 - **来源**:依赖于 `/var/log/btmp` 文件,该文件记录了失败的登录信息。 - **权限要求**:通常需要 root 权限才能查看完整信息。 --- ## ✅ 使用方法 ### 1. 查看所有失败登录记录 ```bash sudo lastb ``` 输出示例: ``` user1 ssh:notty 192.168.1.100 Fri Apr 5 10:03:45 +0800 2024 user2 ssh:notty 192.168.1.101 Fri Apr 5 10:04:12 +0800 2024 ``` ### 2. 查看某用户的失败登录记录 ```bash sudo lastb | grep 'username' ``` ### 3. 查看最近的失败登录 ```bash sudo lastb -n 10 ``` ### 4. 查看详细信息(包括 IP 地址和时间) 默认情况下 `lastb` 已经显示这些信息,但可以结合 `grep` 或 `awk` 进行过滤。 --- ## 🧠 注意事项 - `lastb` 只能查看**SSH 登录失败**的信息(如通过 `sshd` 尝试登录失败),其他服务(如 FTP、Telnet)的失败登录可能不会被记录到 `/var/log/btmp` 中。 - 如果你发现大量失败登录,可能是**暴力破解攻击**,建议检查 `/var/log/auth.log`(或 `/var/log/secure` 在某些系统上)以获取更多细节。 - 如果没有看到任何内容,可能是因为: - 没有失败登录。 - `/var/log/btmp` 文件不存在或损坏。 - SSH 配置中未启用失败登录日志记录(一般默认是开启的)。 --- ## 🔁 如何清除 `lastb` 记录? 如果你想要清空失败登录记录: ```bash sudo > /var/log/btmp ``` > ⚠️ 警告:清空日志可能会掩盖潜在的安全问题,建议仅在必要时使用。 --- ## 🔒 安全建议 - 使用 `fail2ban` 等工具自动封禁频繁失败登录的 IP。 - 修改 SSH 默认端口(如 22 → 2222)以减少攻击面。 - 使用密钥认证代替密码登录。 - 定期检查 `/var/log/auth.log` 和 `/var/log/btmp` 文件。 --- 如果你需要我帮你分析某个系统的 `lastb` 输出,也可以贴出来,我可以帮你解读。
上一篇:
linux移动文件用哪个命令?改名用哪个命令?
下一篇:
Linux 系统管理和维护包含那些内容?
标题录入,一次不能超过6条
留言
评论