Ubuntu 18.04系统查看异常登录记录的方法

本文目录导读：

1. <"http://#id1" title='使用"last"命令' "">使用"last"命令
2. <"http://#id2" title='检查"/var/log/auth.log"日志文件' "">检查"/var/log/auth.log"日志文件
3. <"http://#id3" title='使用"auditd"工具' "">使用"auditd"工具
4. <"http://#id4" title='使用"fail2ban"工具' "">使用"fail2ban"工具

在Ubuntu 18.04系统中，查看异常登录记录对于系统管理员来说是一项重要的任务，通过检查异常登录记录，管理员可以及时发现潜在的安全威胁，并采取相应的措施来保护系统的安全，本文将从多个方面介绍如何查看Ubuntu 18.04系统中的异常登录记录。

使用"last"命令

"last"命令是Ubuntu系统中用于显示用户登录历史记录的命令，通过运行该命令，可以查看系统上所有用户的登录记录，包括登录时间、登录终端等信息，为了查看异常登录记录，可以使用以下命令：

last | grep "pts"

该命令将过滤出通过终端登录的记录，并显示登录时间、登录用户和登录IP地址等信息，通过检查这些记录，可以发现异常登录的情况，例如登录时间异常、登录IP地址异常等。

检查"/var/log/auth.log"日志文件

"/var/log/auth.log"是Ubuntu系统中用于记录用户认证和授权信息的日志文件，通过检查该文件，可以发现异常登录的记录，使用以下命令打开日志文件：

sudo nano /var/log/auth.log

在打开的日志文件中，查找包含"Failed password"或"Failed password for"等关键词的行，这些行记录了用户登录失败的尝试，可能是由于异常登录引起的，通过检查这些失败的尝试，可以发现异常登录的情况。

使用"auditd"工具

"auditd"是Ubuntu系统中用于审计的工具，可以用于监控和记录系统上的各种事件，通过配置"auditd"，可以监视异常登录行为，并将相关记录保存在审计日志中，以下是一些配置示例：

1、监视root用户的登录行为：

sudo auditctl -w /var/run/utmp -p wa -k root-login

该命令将监视root用户在终端上的登录行为，并将相关记录保存在审计日志中，关键字"root-login"用于标识该规则。

2、监视非root用户的登录行为：

sudo auditctl -w /var/run/utmp -p wa -k non-root-login

该命令将监视非root用户在终端上的登录行为，并将相关记录保存在审计日志中，关键字"non-root-login"用于标识该规则。

3、监视SSH登录行为：

sudo auditctl -w /var/log/auth.log -p wa -k ssh-login

该命令将监视SSH登录行为，并将相关记录保存在审计日志中，关键字"ssh-login"用于标识该规则。

配置完成后，使用以下命令查看审计日志：

sudo ausearch -k <keyword>

将"<keyword>"替换为相应的关键字，quot;root-login"、"non-root-login"或"ssh-login"，该命令将显示与关键字匹配的审计记录，包括登录时间、登录用户和登录IP地址等信息，通过检查这些记录，可以发现异常登录的情况。

使用"fail2ban"工具

"fail2ban"是一个用于监控系统日志的工具，它可以自动屏蔽恶意用户的IP地址，以防止恶意登录尝试，在Ubuntu 18.04系统中，"fail2ban"已经预安装，要配置"fail2ban"，请按照以下步骤操作：

1、打开"fail2ban"配置文件：

sudo nano /etc/fail2ban/jail.conf

2、在文件中找到"[ssh]"、"[auth]"和"[apache-auth]"段落，并确保以下选项被启用：

enabled = true