Логи SSH помогают понять, пытался ли кто-то войти на VPS, почему вход не прошел и работает ли авторизация по паролю или ключу. Названия логов отличаются в разных Linux-дистрибутивах.

Где искать

СистемаКоманда или файл
Debian/Ubuntu/var/log/auth.log
AlmaLinux/Rocky/CentOS/var/log/secure
systemd journaljournalctl -u ssh или journalctl -u sshd

Полезные команды

grep 'sshd' /var/log/auth.log | tail -50
grep 'Failed password' /var/log/auth.log | tail
journalctl -u ssh -n 100 --no-pager
journalctl -u sshd -n 100 --no-pager

На что смотреть

  • Failed password: неверный пароль или автоматический перебор.
  • Accepted password или Accepted publickey: успешный вход.
  • Invalid user: кто-то пробовал несуществующего пользователя.
  • Too many authentication failures: клиент предложил слишком много ключей.
  • Connection closed before authentication: сетевая активность или сканер.

Если видно много неудачных попыток из интернета, используйте SSH-ключи, по возможности отключите вход по паролю и ограничьте доступ по IP.

В логах SSH есть подозрительные строки?

Пришлите нужные строки логов без паролей и приватных ключей. Поможем отличить обычные сканы от реального риска доступа.

Проверить SSH-логи

Что важно учитывать для VPS

VPS дает больше контроля, но требует внимательнее относиться к обновлениям, firewall, резервным копиям и мониторингу ресурсов. Перед изменениями на сервере лучше зафиксировать текущее состояние и иметь план отката.

  • проверьте свободное место на диске и inode;
  • посмотрите нагрузку CPU, RAM и load average;
  • проверьте статус нужных сервисов;
  • не закрывайте SSH-доступ firewall-правилами без теста;
  • перед рискованными работами сделайте snapshot или backup.

Если сервер используется для почты, дополнительно проверьте PTR, SPF, DKIM, hostname и репутацию IP-адреса.

Что подготовить перед обращением

Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Как посмотреть логи входа по SSH на VPS», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.