Linux環境設定/sshによる不正アクセスを確認する
の編集
Top
/
Linux環境設定
/
sshによる不正アクセスを確認する
[
トップ
] [
編集
|
差分
|
バックアップ
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
-- 雛形とするページ --
(no template pages)
#navi(../) * sshによる不正アクセスを確認する [#pec80969] sshによる接続エラーや、rootにsuしたユーザなどを確認するには以下のログファイルにより確認できます。 /var/log/secure #contents #htmlinsertpcsp(linux_ads_top.html,linux-sp.html) * 関連資料 [#sc606735] -[[不正ログインユーザの履歴を表示する・lastbコマンド>逆引きUNIXコマンド/不正ログインユーザの履歴を表示する・lastbコマンド]] * 関連記事 [#n186ac26] -[[sshdを複数ポートでリッスンさせる設定方法>Linux環境設定/sshdを複数ポートでリッスンさせる設定方法]] -[[sshの接続に時間がかかる場合の対処>Linux環境設定/sshの接続に時間がかかる場合の対処]] -[[sshの接続が切断されてしまう場合の対処>Linux環境設定/sshの接続が切断されてしまう場合の対処]] -[[sshによる不正アクセスを確認する>Linux環境設定/sshによる不正アクセスを確認する]] -[[特定ユーザのみSSHによるログインを可能にする>Linux環境設定/特定ユーザのみSSHによるログインを可能にする]] -[[sshでのrootログインを禁止しssh経由でのroot権限では指定のコマンドだけを実行できるようにする方法>Linux環境設定/sshのrootログイン禁止だがssh経由でroot権限で指定コマンドを実行する方法]] -[[Broken pipeでsshが切断される場合の対処>Linux環境設定/Broken pipeでsshが切断される場合の対処]] -[[ssh-copy-idを使って、sshの公開鍵認証の鍵登録を簡単に行う>Linux環境設定/ssh-copy-idを使って、sshの公開鍵認証の鍵登録を簡単に行う]] * /var/log/secureの確認 [#z7fda4f1] 以下、sshによる接続成功、接続失敗、suコマンドによりrootになった場合に出力されるログの例を記します。~ 尚、使用したディストリビューションはCentOSです。 ** sshによる接続成功 [#w442ee67] - 接続する側 $ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Last login: Wed Apr 27 22:57:05 2011 from 192.168.56.1 [sakura@centos ~]$ - 接続される側~ rootになってtailコマンドにより確認しました。 [root@centos ~]# tail -f /var/log/secure : : Apr 27 22:58:25 centos sshd[3257]: Accepted password for sakura from 192.168.56.1 port 50064 ssh2 Apr 27 22:58:25 centos sshd[3257]: pam_unix(sshd:session): session opened for user sakura by (uid=0) ** sshによる接続失敗(パスワード不一致) [#ebb35321] - 接続する側 $ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Permission denied, please try again. sakura@192.168.56.101's password: - 接続される側~ rootになってtailコマンドにより確認しました。 [root@centos ~]# tail -f /var/log/secure : : Apr 27 23:01:29 centos sshd[3394]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1 user=sakura Apr 27 23:01:31 centos sshd[3394]: Failed password for sakura from 192.168.56.1 port 50073 ssh2 以下のコマンドにより接続エラーとなった情報を抜き出すことができます。 # cat /var/log/secure | grep "Failed password" ** sshにより接続後、su - によりrootにスイッチした場合 [#p793a3c1] - 接続する側 $ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Last login: Wed Apr 27 23:06:39 2011 from 192.168.56.1 [sakura@centos ~]$ su - パスワード: [root@centos ~]# - 接続される側 [root@centos ~]# tail -f /var/log/secure : : Apr 27 23:07:09 centos sshd[3441]: Accepted password for sakura from 192.168.56.1 port 50101 ssh2 Apr 27 23:07:09 centos sshd[3441]: pam_unix(sshd:session): session opened for user sakura by (uid=0) Apr 27 23:07:23 centos su: pam_unix(su-l:session): session opened for user root by sakura(uid=501) 最後の行のsession opened for user root by sakura(uid=501)がrootにスイッチした時に 出力されたメッセージです。 ** sshにより接続後、su - によりrootスイッチが失敗した場合 [#peb9022e] + 接続する側 [sakura@centos ~]$ su - パスワード: su: パスワードが違います [sakura@centos ~]$ #br + 接続される側 [root@centos ~]# tail -f /var/log/secure : : Apr 27 23:10:44 centos su: pam_unix(su-l:auth): authentication failure; logname=sakura uid=501 euid=0 tty=pts/1 ruser=sakura rhost= user=root 以上のように/var/log/secureを監視することにより、接続ユーザの確認をすることができます。 #htmlinsertpcsp(linux_ads_btm.html,linux-sp.html) #br
タイムスタンプを変更しない
#navi(../) * sshによる不正アクセスを確認する [#pec80969] sshによる接続エラーや、rootにsuしたユーザなどを確認するには以下のログファイルにより確認できます。 /var/log/secure #contents #htmlinsertpcsp(linux_ads_top.html,linux-sp.html) * 関連資料 [#sc606735] -[[不正ログインユーザの履歴を表示する・lastbコマンド>逆引きUNIXコマンド/不正ログインユーザの履歴を表示する・lastbコマンド]] * 関連記事 [#n186ac26] -[[sshdを複数ポートでリッスンさせる設定方法>Linux環境設定/sshdを複数ポートでリッスンさせる設定方法]] -[[sshの接続に時間がかかる場合の対処>Linux環境設定/sshの接続に時間がかかる場合の対処]] -[[sshの接続が切断されてしまう場合の対処>Linux環境設定/sshの接続が切断されてしまう場合の対処]] -[[sshによる不正アクセスを確認する>Linux環境設定/sshによる不正アクセスを確認する]] -[[特定ユーザのみSSHによるログインを可能にする>Linux環境設定/特定ユーザのみSSHによるログインを可能にする]] -[[sshでのrootログインを禁止しssh経由でのroot権限では指定のコマンドだけを実行できるようにする方法>Linux環境設定/sshのrootログイン禁止だがssh経由でroot権限で指定コマンドを実行する方法]] -[[Broken pipeでsshが切断される場合の対処>Linux環境設定/Broken pipeでsshが切断される場合の対処]] -[[ssh-copy-idを使って、sshの公開鍵認証の鍵登録を簡単に行う>Linux環境設定/ssh-copy-idを使って、sshの公開鍵認証の鍵登録を簡単に行う]] * /var/log/secureの確認 [#z7fda4f1] 以下、sshによる接続成功、接続失敗、suコマンドによりrootになった場合に出力されるログの例を記します。~ 尚、使用したディストリビューションはCentOSです。 ** sshによる接続成功 [#w442ee67] - 接続する側 $ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Last login: Wed Apr 27 22:57:05 2011 from 192.168.56.1 [sakura@centos ~]$ - 接続される側~ rootになってtailコマンドにより確認しました。 [root@centos ~]# tail -f /var/log/secure : : Apr 27 22:58:25 centos sshd[3257]: Accepted password for sakura from 192.168.56.1 port 50064 ssh2 Apr 27 22:58:25 centos sshd[3257]: pam_unix(sshd:session): session opened for user sakura by (uid=0) ** sshによる接続失敗(パスワード不一致) [#ebb35321] - 接続する側 $ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Permission denied, please try again. sakura@192.168.56.101's password: - 接続される側~ rootになってtailコマンドにより確認しました。 [root@centos ~]# tail -f /var/log/secure : : Apr 27 23:01:29 centos sshd[3394]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1 user=sakura Apr 27 23:01:31 centos sshd[3394]: Failed password for sakura from 192.168.56.1 port 50073 ssh2 以下のコマンドにより接続エラーとなった情報を抜き出すことができます。 # cat /var/log/secure | grep "Failed password" ** sshにより接続後、su - によりrootにスイッチした場合 [#p793a3c1] - 接続する側 $ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Last login: Wed Apr 27 23:06:39 2011 from 192.168.56.1 [sakura@centos ~]$ su - パスワード: [root@centos ~]# - 接続される側 [root@centos ~]# tail -f /var/log/secure : : Apr 27 23:07:09 centos sshd[3441]: Accepted password for sakura from 192.168.56.1 port 50101 ssh2 Apr 27 23:07:09 centos sshd[3441]: pam_unix(sshd:session): session opened for user sakura by (uid=0) Apr 27 23:07:23 centos su: pam_unix(su-l:session): session opened for user root by sakura(uid=501) 最後の行のsession opened for user root by sakura(uid=501)がrootにスイッチした時に 出力されたメッセージです。 ** sshにより接続後、su - によりrootスイッチが失敗した場合 [#peb9022e] + 接続する側 [sakura@centos ~]$ su - パスワード: su: パスワードが違います [sakura@centos ~]$ #br + 接続される側 [root@centos ~]# tail -f /var/log/secure : : Apr 27 23:10:44 centos su: pam_unix(su-l:auth): authentication failure; logname=sakura uid=501 euid=0 tty=pts/1 ruser=sakura rhost= user=root 以上のように/var/log/secureを監視することにより、接続ユーザの確認をすることができます。 #htmlinsertpcsp(linux_ads_btm.html,linux-sp.html) #br
テキスト整形のルールを表示する