Логи SSH помогают понять, пытался ли кто-то войти на VPS, почему вход не прошел и работает ли авторизация по паролю или ключу. Названия логов отличаются в разных Linux-дистрибутивах.
Где искать
| Система | Команда или файл |
|---|---|
| Debian/Ubuntu | /var/log/auth.log |
| AlmaLinux/Rocky/CentOS | /var/log/secure |
| systemd journal | journalctl -u ssh или journalctl -u sshd |
Полезные команды
grep 'sshd' /var/log/auth.log | tail -50
grep 'Failed password' /var/log/auth.log | tail
journalctl -u ssh -n 100 --no-pager
journalctl -u sshd -n 100 --no-pagerНа что смотреть
- Failed password: неверный пароль или автоматический перебор.
- Accepted password или Accepted publickey: успешный вход.
- Invalid user: кто-то пробовал несуществующего пользователя.
- Too many authentication failures: клиент предложил слишком много ключей.
- Connection closed before authentication: сетевая активность или сканер.
Если видно много неудачных попыток из интернета, используйте SSH-ключи, по возможности отключите вход по паролю и ограничьте доступ по IP.
В логах SSH есть подозрительные строки?
Пришлите нужные строки логов без паролей и приватных ключей. Поможем отличить обычные сканы от реального риска доступа.
Проверить SSH-логи