#author("2017-02-11T11:38:17+09:00","","")
#navi(../)
* sshによる不正アクセスを確認する [#pec80969]
sshによる接続エラーや、rootにsuしたユーザなどを確認するには以下のログファイルにより確認できます。
 /var/log/secure

#contents
#htmlinsertpcsp(linux_ads_top.html,linux-sp.html)

* 関連資料 [#sc606735]
-[[不正ログインユーザの履歴を表示する・lastbコマンド>逆引きUNIXコマンド/不正ログインユーザの履歴を表示する・lastbコマンド]]
* 関連記事 [#n186ac26]
-[[sshdを複数ポートでリッスンさせる設定方法>Linux環境設定/sshdを複数ポートでリッスンさせる設定方法]]
-[[sshの接続に時間がかかる場合の対処>Linux環境設定/sshの接続に時間がかかる場合の対処]]
-[[sshの接続が切断されてしまう場合の対処>Linux環境設定/sshの接続が切断されてしまう場合の対処]]
-[[sshによる不正アクセスを確認する>Linux環境設定/sshによる不正アクセスを確認する]]
-[[特定ユーザのみSSHによるログインを可能にする>Linux環境設定/特定ユーザのみSSHによるログインを可能にする]]
-[[sshでのrootログインを禁止しssh経由でのroot権限では指定のコマンドだけを実行できるようにする方法>Linux環境設定/sshのrootログイン禁止だがssh経由でroot権限で指定コマンドを実行する方法]]
-[[Broken pipeでsshが切断される場合の対処>Linux環境設定/Broken pipeでsshが切断される場合の対処]]
-[[ssh-copy-idを使って、sshの公開鍵認証の鍵登録を簡単に行う>Linux環境設定/ssh-copy-idを使って、sshの公開鍵認証の鍵登録を簡単に行う]]

* /var/log/secureの確認 [#z7fda4f1]
以下、sshによる接続成功、接続失敗、suコマンドによりrootになった場合に出力されるログの例を記します。~
尚、使用したディストリビューションはCentOSです。

** sshによる接続成功 [#w442ee67]
- 接続する側
 $ ssh sakura@192.168.56.101
 sakura@192.168.56.101's password: 
 Last login: Wed Apr 27 22:57:05 2011 from 192.168.56.1
 [sakura@centos ~]$ 

- 接続される側~
rootになってtailコマンドにより確認しました。
 [root@centos ~]# tail -f /var/log/secure
     :
     :
 Apr 27 22:58:25 centos sshd[3257]: Accepted password for sakura from 192.168.56.1 port 50064 ssh2
 Apr 27 22:58:25 centos sshd[3257]: pam_unix(sshd:session): session opened for user sakura by (uid=0)

** sshによる接続失敗(パスワード不一致) [#ebb35321]
- 接続する側
 $ ssh sakura@192.168.56.101
 sakura@192.168.56.101's password: 
 Permission denied, please try again.
 sakura@192.168.56.101's password: 

- 接続される側~
rootになってtailコマンドにより確認しました。
 [root@centos ~]# tail -f /var/log/secure
     :
     :
 Apr 27 23:01:29 centos sshd[3394]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1  user=sakura
 Apr 27 23:01:31 centos sshd[3394]: Failed password for sakura from 192.168.56.1 port 50073 ssh2

以下のコマンドにより接続エラーとなった情報を抜き出すことができます。
 # cat /var/log/secure | grep "Failed password"


** sshにより接続後、su - によりrootにスイッチした場合 [#p793a3c1]
- 接続する側
 $ ssh sakura@192.168.56.101
 sakura@192.168.56.101's password: 
 Last login: Wed Apr 27 23:06:39 2011 from 192.168.56.1
 [sakura@centos ~]$ su -
 パスワード:
 [root@centos ~]# 

- 接続される側
 [root@centos ~]# tail -f /var/log/secure
     :
     :
 Apr 27 23:07:09 centos sshd[3441]: Accepted password for sakura from 192.168.56.1 port 50101 ssh2
 Apr 27 23:07:09 centos sshd[3441]: pam_unix(sshd:session): session opened for user sakura by (uid=0)
 Apr 27 23:07:23 centos su: pam_unix(su-l:session): session opened for user root by sakura(uid=501)
最後の行のsession opened for user root by sakura(uid=501)がrootにスイッチした時に
出力されたメッセージです。

** sshにより接続後、su - によりrootスイッチが失敗した場合 [#peb9022e]
+ 接続する側
 [sakura@centos ~]$ su -
 パスワード:
 su: パスワードが違います
 [sakura@centos ~]$ 
#br
+ 接続される側
 [root@centos ~]# tail -f /var/log/secure
     :
     :
 Apr 27 23:10:44 centos su: pam_unix(su-l:auth): authentication failure; logname=sakura uid=501 euid=0 tty=pts/1 ruser=sakura rhost=  user=root


以上のように/var/log/secureを監視することにより、接続ユーザの確認をすることができます。

#htmlinsertpcsp(linux_ads_btm.html,linux-sp.html)
#br

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS