在使用 Ubuntu 或其他 Linux 系统时,了解系统的安全状况非常重要。其中,失败登录尝试是判断系统是否遭受暴力破解或未授权访问的重要指标。本文将手把手教你如何使用 faillog 命令来查看、分析和管理这些失败的登录记录,即使是 Linux 新手也能轻松上手。
什么是 faillog?
faillog 是一个用于显示和操作 /var/log/faillog
文件的命令行工具。该文件记录了用户登录失败的次数、时间、IP 地址等信息,是系统安全审计的重要组成部分。
前提条件:确保 faillog 功能已启用
在某些 Ubuntu 系统中,默认可能未启用 PAM(Pluggable Authentication Modules)的
faillog模块。你需要先确认
/etc/pam.d/common-auth文件中包含以下行:
auth required pam_faillog.so preauth silent auditauth required pam_faillog.so postauth silent audit
如果你没有看到类似配置,可以手动添加(建议备份原文件),然后重启 SSH 服务或重新登录以生效。
基本用法:查看所有用户的失败登录记录
最简单的用法是直接运行
faillog命令:
faillog
该命令会列出所有有失败登录记录的用户。输出通常包括用户名、失败次数、上次失败时间、IP 地址等信息。
只查看特定用户的失败记录
如果你只想查看某个用户(例如
ubuntu)的失败登录情况,可以使用
-u参数:
faillog -u ubuntu
重置失败登录计数器
当你确认某次失败是误操作(比如自己输错密码),可以清除该用户的失败记录,避免被锁定:
faillog -u ubuntu -r
其中
-r表示 reset(重置)。
设置最大失败次数(可选)
虽然
faillog本身不直接限制登录,但它常与
pam_tally2或
faillock配合使用来实现账户锁定策略。不过你也可以通过
faillog查看当前策略:
# 查看 root 用户的最大允许失败次数(如果已设置)faillog -u root
安全建议
定期使用faillog检查异常登录尝试,特别是来自陌生 IP 的记录。 结合
grep "Failed password" /var/log/auth.log查看更详细的 SSH 登录失败日志。 为重要账户(如 root)设置登录失败锁定策略,提升系统安全性。 确保你的系统启用了 Ubuntu faillog命令 所依赖的 PAM 模块,否则可能看不到任何记录。
总结
faillog是一个轻量但强大的工具,能帮助你快速掌握系统的 Linux安全日志 情况。通过本文介绍的命令,你可以轻松实现 查看失败登录记录 和 系统登录失败分析,从而及时发现潜在的安全威胁。
现在就打开终端,试试
faillog吧!保护你的 Ubuntu 系统,从关注每一次失败登录开始。
