Просмотр неудачных попыток авторизаций по SSH

Самая простая команда для просмотра логов
# grep "Failed password" /var/log/auth.log
или аналог
# cat /var/log/auth.log | grep "Failed password"
для вывода дополнительной информации можно использовать
# egrep "Failed|Failure" /var/log/auth.log

В CentOS или RHEL сессии логируются в файле /var/log/secure file и тогда команда
# egrep "Failed|Failure" /var/log/secure
# grep "Failed" /var/log/secure
# grep "authentication failure" /var/log/secure

Вывести список IP и количество попыток авторизаций для каждого из них можно командой
# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

Через журнал можно смотреть командой
# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #RHEL, CentOS

Вам понравиться