快速定位暴力破解需用grep提取Failed password的IP并统计频次，结合5分钟内≥10次失败判定攻击；区分日志源（auth.log/btmp/journalctl）及字段位置差异；验证fail2ban路径、正则、时区配置。

如何快速定位 auth.log 中的暴力破解尝试

Linux 的 auth.log（Ubuntu/Debian）或 secure（RHEL/CentOS）是识别登录异常的核心日志源。暴力破解最典型的痕迹是短时间内大量 Failed password 记录，且来源 IP 高度集中。

• 用 grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10 快速提取高频失败登录 IP
• 注意区分真实用户误输和攻击：同一 IP 在 5 分钟内出现 ≥10 次失败，基本可判定为扫描行为
• SSH 默认日志不记录用户名时，需配合 grep "Invalid user\|Failed password" /var/log/auth.log 并检查字段位置——不同 OpenSSH 版本中用户名所在列可能不同（常见为第9或第10列）
• 若系统启用了 rsyslog 的 imfile 模块做日志转发，原始时间戳可能被覆盖，优先以日志行首时间为准，而非 date 命令解析结果

lastb 和 journalctl 日志输出差异与选用场景

lastb 读取的是二进制 /var/log/btmp，只存失败登录；journalctl -u sshd --since "2 hours ago" 则从 systemd journal 实时聚合，含更完整上下文（如 PAM 模块调用链），但默认不持久化，重启后丢失。

• 排查近期问题优先用 journalctl -u sshd -n 100 -o short-iso（-n 控制行数，-o 统一时间格式）
• 要追溯历史（如上周是否被爆破），必须查 lastb -i | head -20（-i 显示 IP 而非主机名）或解压归档的 btmp* 文件
• journalctl 默认日志大小受 /etc/systemd/journald.conf 中 SystemMaxUse 限制，若设为 50M，旧日志会被轮转丢弃——别假设“所有日志都在”

用 awk 提取异常 sudo 行为的关键字段

提权操作比普通登录更危险。/var/log/auth.log 中 sudo: 日志包含用户、终端、命令三要素，但格式松散，直接 grep 易漏判。

awk '/sudo:.*COMMAND/{user=$1; tty=$3; cmd=$0; sub(/^.*COMMAND=/,"",cmd); print user, tty, cmd}' /var/log/auth.log | grep -v "PATH="

• 重点过滤掉 PATH= 开头的环境变量记录（属于 sudo 启动时的冗余信息）
• 真正可疑的是：非交互式终端（如 tty=pts/0 但无对应 sshd 登录记录）、用户执行了 /bin/bash 或 nohup 等隐蔽启动 shell 的命令
• 注意 sudo -i 和 sudo su - 日志中用户字段可能显示为 root，需向前追溯上一条 USER=xxx 的 sudo 行确认原始操作者

fail2ban 配置失效的三个典型原因

很多团队装了 fail2ban 却没拦住攻击，问题常不在规则本身，而在日志路径、时区或服务状态。

• 确认 fail2ban-client status sshd 输出中 Currently banned: 数值非零；若为 0，先查 fail2ban-client get sshd failregex 是否匹配到日志中的实际字符串（比如日志写的是 Connection closed by invalid user，而默认正则只捕获 Failed password）
• 检查 /etc/fail2ban/jail.local 中 logpath 是否指向正确文件（Ubuntu 是 /var/log/auth.log，CentOS 是 /var/log/secure），且文件权限允许 fail2ban 用户读取（cat /var/log/auth.log 能读 ≠ fail2ban 能读）
• 系统时区与日志时间不一致会导致匹配失败——date 和 tail -1 /var/log/auth.log 时间差超过 1 分钟，就需同步 timedatectl set-timezone $YOUR_ZONE 并重启 fail2ban

日志分析不是比谁跑的命令长，而是看能不能在 30 秒内确认一个 IP 是否真在攻击、哪个用户被滥用了、规则到底生效没。时间戳对齐、路径写死、字段位置偏移——这些细节卡住的地方，比算法模型更容易让整个分析停摆。

# linux  # 字符串  # var  # 算法  # ssh  # debian  # 的是  # 而非  # 重启  # 都在  # 设为  # date  # sort  # word  # centos  # go  # ubuntu  # ai  # 环境变量  # 解压  # linux系统  # bash  # print  # 能不  # 更容易  # 能在  # 而在  # 装了