如何追踪SSH登录失败的尝试？

所有的登录尝试都会被记录到/var/log/auth.log。

1. 筛选暴力互动SSH登录

打开终端，输入以下内容；如果超过1页，您可以上下滚动；输入q退出：

grep sshd.\*Failed /var/log/auth.log | less

这是我一个VPS的真实例子： Aug 18 11:00:57 izxvps sshd[5657]: root从95.58.255.62端口38980 ssh2登录失败 Aug 18 23:08:26 izxvps sshd[5768]: root从91.205.189.15端口38156 ssh2登录失败 Aug 18 23:08:30 izxvps sshd[5770]: nobody从91.205.189.15端口38556 ssh2登录失败 Aug 18 23:08:34 izxvps sshd[5772]: asterisk从91.205.189.15端口38864 ssh2登录失败 Aug 18 23:08:38 izxvps sshd[5774]: sjobeck从91.205.189.15端口39157 ssh2登录失败 Aug 18 23:08:42 izxvps sshd[5776]: root从91.205.189.15端口39467 ssh2登录失败
2. 寻找失败的连接（即未尝试登录，可能是端口扫描等）：
使用以下命令：

grep sshd.*Did /var/log/auth.log | less

如何减少登录失败/暴力破解尝试

• 示例：

  8月5日22:19:10 izxvps sshd[7748]: 未收到来自70.91.222.121的身份验证字符串
  8月10日19:39:49 izxvps sshd[1919]: 未收到来自50.57.168.154的身份验证字符串
  8月13日23:08:04 izxvps sshd[3562]: 未收到来自87.216.241.19的身份验证字符串
  8月17日15:49:07 izxvps sshd[5350]: 未收到来自211.22.67.238的身份验证字符串
  8月19日06:28:43 izxvps sshd[5838]: 未收到来自59.151.37.10的身份验证字符串
  

如何减少登录失败/暴力破解尝试

• 尝试将您的SSH切换到非标准端口，而不是默认的22端口
• 或者安装一个自动封禁脚本，比如fail2ban。

我认为监控日志是一个薄弱的解决方案，尤其是如果你在账户上使用了弱密码。暴力尝试通常每分钟至少尝试数百个密钥。即使你设置了一个定时任务来通过电子邮件通知你有关暴力尝试的情况，你可能需要几个小时才能到达服务器。
如果你有一个面向公众的SSH服务器，你需要一个在你被黑客攻击之前就能发挥作用的解决方案。
我强烈推荐使用fail2ban。他们的维基比我更好地解释了它的功能。

Fail2ban扫描日志文件（例如/var/log/apache/error_log），并禁止显示恶意迹象的IP地址，如过多的密码失败、寻找漏洞等。通常，Fail2Ban会更新防火墙规则以拒绝指定时间内的IP地址，但也可以配置任何其他任意操作（例如发送电子邮件或弹出光驱）。Fail2Ban开箱即用，带有各种服务的过滤器（apache、curier、ssh等）。

获取保护非常简单，只需执行sudo apt-get install fail2ban命令。
默认情况下，一旦有人连续三次失败尝试，其IP地址将被禁止五分钟。这种延迟基本上可以阻止SSH暴力破解尝试，但如果你忘记密码也不会影响你的日常（不过你应该使用密钥认证！）。

简短回答： 要跟踪失败的尝试，你只需查看日志文件/var/log/auth.log，而不使用任何模式匹配命令，因为这些模式并不全面。然后，为了减轻风险，你可以使用像fail2ban这样的工具。
长篇回答： 无效登录有很多种方式。例如，攻击者可能会尝试一些默认的用户名和密码，比如在Kali Linux上的默认用户名"kali"和密码"kali"。（这是德国黑客在冷战时期广泛使用的技术。如果你感兴趣，可以阅读《布谷鸟的蛋》。）
假设你删除了"kali"用户，上述grep命令就无法捕捉到这个情况。

Nov 25 07:11:32 Everything20170707 sshd[27216]: input_userauth_request: invalid user kali [preauth]