简介

在当今数字化时代，信息技术的快速发展让服务器管理变得愈发重要。Linux服务器作为许多系统和应用的核心，扮演着关键的角色。为了确保服务器的安全性和运行状态，管理员需要实时监控和记录用户的SSH（Secure Shell）连接，以及相关的活动。

如果你拥有一个云服务器，且开放了SSH，那你的服务器大概率会有黑客在光顾，查看SSH连接日志，是查看黑客攻击的一个简单的手段。

查看日志

获取SSH连接记录，其中一个常见的方法是查看系统的认证日志，通常位于 /var/log/auth.log 或 /var/log/secure，具体路径可能会因Linux发行版而有所不同。

• /var/log/auth.log：在Debian和Ubuntu等发行版中使用
• /var/log/secure：在Red Hat、CentOS和Fedora等发行版中使用

以下是查看SSH登录志的一般步骤：

1. 打开终端或SSH到您的Linux服务器。
2. 使用以下命令来查看/var/log/secure或/var/log/auth.log文件的最后几行，这些日志文件包含SSH登录的信息：

sh
# 对于/var/log/secure：
sudo tail /var/log/secure

# 对于/var/log/auth.log(在Debian和Ubuntu等发行版中使用)：
sudo tail /var/log/auth.log

其他技巧

如果您想查看更多行，可以使用-n选项指定行数，例如：

sh
sudo tail -n 50 /var/log/secure

这将显示最后50行的内容。

如果您希望实时查看日志以获取新的登录失败记录，可以使用tail命令的-f选项，如示：

sh
sudo tail -f /var/log/secure

这将持续监视日志文件，并将新的日志实时显示在终端上。

如果您在日志中看到频繁的SSH登录失败记录，这可能表明有安全问题，如暴力破解尝试。在这种情况下，您应该采取适当的安全措施来保护您的服务器，如使用强密码、禁用root用户SSH访问、使用SSH密钥认证等。