Linux安全：SSH登录日志查看

## 简介

在当今数字化时代，信息技术的快速发展让服务器管理变得愈发重要。Linux服务器作为许多系统和应用的核心，扮演着关键的角色。为了确保服务器的安全性和运行状态，管理员需要实时监控和记录用户的`SSH`（`Secure Shell`）连接，以及相关的活动。

如果你拥有一个云服务器，且开放了`SSH`，那你的服务器大概率会有黑客在光顾，查看`SSH`连接日志，是查看黑客攻击的一个简单的手段。

<!-- more -->

## 查看日志

获取SSH连接记录，其中一个常见的方法是查看系统的认证日志，通常位于 `/var/log/auth.log` 或 `/var/log/secure`，具体路径可能会因Linux发行版而有所不同。

- `/var/log/auth.log`：在Debian和Ubuntu等发行版中使用
- `/var/log/secure`：在Red Hat、CentOS和Fedora等发行版中使用

以下是查看SSH登录志的一般步骤：

1. 打开终端或SSH到您的Linux服务器。
2. 使用以下命令来查看`/var/log/secure`或`/var/log/auth.log`文件的最后几行，这些日志文件包含SSH登录的信息：
```sh
# 对于/var/log/secure：
sudo tail /var/log/secure

# 对于/var/log/auth.log(在Debian和Ubuntu等发行版中使用)：
sudo tail /var/log/auth.log
```

## 其他技巧

如果您想查看更多行，可以使用-n选项指定行数，例如：

```sh
sudo tail -n 50 /var/log/secure
```

这将显示最后50行的内容。


如果您希望实时查看日志以获取新的登录失败记录，可以使用`tail`命令的`-f`选项，如示：

```sh
sudo tail -f /var/log/secure
```
这将持续监视日志文件，并将新的日志实时显示在终端上。


**如果您在日志中看到频繁的SSH登录失败记录，这可能表明有安全问题，如暴力破解尝试。在这种情况下，您应该采取适当的安全措施来保护您的服务器，如使用强密码、禁用root用户SSH访问、使用SSH密钥认证等。**