Мини‑анализатор SSH‑логов: кто пытался войти!

Цель: быстро видеть успешные и неудачные попытки входа, а также частые IP‑адреса.
Идеально для базовой проверки безопасности сервера и обучения.

Сначала собираем все успешные входы в систему с указанием пользователя и IP:
grep "Accepted" /var/log/auth.log | awk '{print $1, $2, $3, $9, $11}' | sort | uniq -c | sort -nr

Вывод покажет число входов, дату, пользователя и IP. Можно сразу увидеть аномальные подключения.

Теперь проверяем все неудачные попытки входа по SSH:
grep "Failed password" /var/log/auth.log | awk '{print $1, $2, $3, $9, $11}' | sort | uniq -c | sort -nr

Даст список IP и пользователей, с которых пытались войти неудачно. Отлично для выявления брутфорса.

Можно посмотреть топ 10 IP‑адресов с наибольшим числом неудачных попыток:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10

Сразу видно, кто атакует чаще всего.

Проверка скрипта: убедимся, что выводятся IP с количеством попыток.
grep "Accepted\|Failed password" /var/log/auth.log | tail

🔥 Такой мини‑анализ позволяет быстро мониторить SSH, выявлять подозрительные попытки и реагировать.