Ubuntu faillog 命令详解（如何查看和分析 Linux 系统中的失败登录记录）

前提条件：确保 faillog 功能已启用

在某些 Ubuntu 系统中，默认可能未启用 PAM（Pluggable Authentication Modules）的 faillog 模块。你需要先确认 /etc/pam.d/common-auth 文件中包含以下行：

auth    required   pam_faillog.so preauth silent auditauth    required   pam_faillog.so postauth silent audit

如果你没有看到类似配置，可以手动添加（建议备份原文件），然后重启 SSH 服务或重新登录以生效。

基本用法：查看所有用户的失败登录记录

最简单的用法是直接运行 faillog 命令：

faillog

该命令会列出所有有失败登录记录的用户。输出通常包括用户名、失败次数、上次失败时间、IP 地址等信息。

只查看特定用户的失败记录

如果你只想查看某个用户（例如 ubuntu）的失败登录情况，可以使用 -u 参数：

faillog -u ubuntu

重置失败登录计数器

当你确认某次失败是误操作（比如自己输错密码），可以清除该用户的失败记录，避免被锁定：

faillog -u ubuntu -r

其中 -r 表示 reset（重置）。

设置最大失败次数（可选）

虽然 faillog 本身不直接限制登录，但它常与 pam_tally2 或 faillock 配合使用来实现账户锁定策略。不过你也可以通过 faillog 查看当前策略：

# 查看 root 用户的最大允许失败次数（如果已设置）faillog -u root

安全建议

• 定期使用 faillog 检查异常登录尝试，特别是来自陌生 IP 的记录。
• 结合 grep "Failed password" /var/log/auth.log 查看更详细的 SSH 登录失败日志。
• 为重要账户（如 root）设置登录失败锁定策略，提升系统安全性。
• 确保你的系统启用了 Ubuntu faillog命令 所依赖的 PAM 模块，否则可能看不到任何记录。

总结

faillog 是一个轻量但强大的工具，能帮助你快速掌握系统的 Linux安全日志 情况。通过本文介绍的命令，你可以轻松实现 查看失败登录记录 和 系统登录失败分析，从而及时发现潜在的安全威胁。

现在就打开终端，试试 faillog 吧！保护你的 Ubuntu 系统，从关注每一次失败登录开始。