我刚刚登录到我的小型家庭服务器,看到了以下消息:
Last failed login: Sun Jan 14 17:08:42 CET 2024 from 192.168.1.111 on ssh:notty
There were 4 failed login attempts since the last successful login.
我切换到 root 用户并运行
root@homeserver ~]# egrep "Failed|Failure" /var/log/secure
Jan 14 17:08:42 homeserver sshd[4906]: Failed password for invalid user podman from 192.168.1.111 port 59183 ssh2
为什么第一个提示报告了 4 次登录失败,而 egrep 命令仅从日志中返回 1 个条目secure?我是否需要 grep 别的东西?
答案1
从您成功登录后的日志行以及您检查过的事实来看/var/log/secure,我假设您的机器上运行的是 Redhat/CentOS。实际上,您在问题中提到的第一个提示可能是 的输出pam_lastlog,其手册页内容如下:
PAM_LASTLOG(8)
... (omitted for brevity)
OPTIONS
... (omitted for brevity)
showfailed
Display number of failed login attempts and the date of the last failed attempt from btmp. The date is not displayed when nodate is specified.
... (omitted for brevity)
请注意,手册页明确指出btmp,该数字是从 (即/var/log/btmp另一个用于记录失败登录的日志文件)检索的。不幸的是,它是一个二进制文件,您无法使用cat和grep命令检查它。作为一种解决方法,您可以使用last -f /var/log/btmp命令来检查文件记录的内容,根据这个答案。
顺便说一句,如果你查看pam_lastlog和的手册页可能会有所帮助这个问题以供进一步阅读。