本文介紹如何在Linux系統(tǒng)中追蹤失敗的ssh登錄嘗試。不同Linux發(fā)行版保存日志的位置略有不同，Debian/Ubuntu系統(tǒng)通常在/var/log/auth.log，而RHEL/centos系統(tǒng)則在/var/log/secure。

方法一：使用文本編輯器

1. 打開終端。
2. 使用sudo權(quán)限打開相應(yīng)的日志文件，例如在Ubuntu系統(tǒng)中： sudo nano /var/log/auth.log 或在CentOS系統(tǒng)中： sudo nano /var/log/secure。
3. 使用編輯器的搜索功能（通常是/鍵），搜索關(guān)鍵詞”Failed”或”authentication failed”來查找失敗的登錄記錄。

方法二：使用grep命令

grep命令提供更強(qiáng)大的搜索功能。 在終端輸入以下命令，即可篩選出包含”Failed”字樣的日志行：

• Ubuntu/Debian: sudo grep “Failed” /var/log/auth.log
• RHEL/CentOS: sudo grep “Failed” /var/log/secure

為了更精準(zhǔn)的定位，可以使用-n選項(xiàng)顯示行號，或-C選項(xiàng)顯示上下文信息：

• 顯示行號：sudo grep -n “Failed” /var/log/auth.log
• 顯示上下文：sudo grep -C 5 “Failed” /var/log/auth.log (顯示匹配行前后5行)

通過以上方法，您可以快速有效地定位并分析Linux系統(tǒng)中失敗的SSH登錄嘗試，及時(shí)發(fā)現(xiàn)并解決潛在的安全問題。