sshによる接続エラーや、rootにsuしたユーザなどを確認するには以下のログファイルにより確認できます。
/var/log/secure
以下、sshによる接続成功、接続失敗、suコマンドによりrootになった場合に出力されるログの例を記します。
尚、使用したディストリビューションはCentOSです。
$ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Last login: Wed Apr 27 22:57:05 2011 from 192.168.56.1 [sakura@centos ~]$
[root@centos ~]# tail -f /var/log/secure : : Apr 27 22:58:25 centos sshd[3257]: Accepted password for sakura from 192.168.56.1 port 50064 ssh2 Apr 27 22:58:25 centos sshd[3257]: pam_unix(sshd:session): session opened for user sakura by (uid=0)
$ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Permission denied, please try again. sakura@192.168.56.101's password:
[root@centos ~]# tail -f /var/log/secure : : Apr 27 23:01:29 centos sshd[3394]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1 user=sakura Apr 27 23:01:31 centos sshd[3394]: Failed password for sakura from 192.168.56.1 port 50073 ssh2
以下のコマンドにより接続エラーとなった情報を抜き出すことができます。
# cat /var/log/secure | grep "Failed password"
$ ssh sakura@192.168.56.101 sakura@192.168.56.101's password: Last login: Wed Apr 27 23:06:39 2011 from 192.168.56.1 [sakura@centos ~]$ su - パスワード: [root@centos ~]#
[root@centos ~]# tail -f /var/log/secure : : Apr 27 23:07:09 centos sshd[3441]: Accepted password for sakura from 192.168.56.1 port 50101 ssh2 Apr 27 23:07:09 centos sshd[3441]: pam_unix(sshd:session): session opened for user sakura by (uid=0) Apr 27 23:07:23 centos su: pam_unix(su-l:session): session opened for user root by sakura(uid=501)最後の行のsession opened for user root by sakura(uid=501)がrootにスイッチした時に 出力されたメッセージです。
[sakura@centos ~]$ su - パスワード: su: パスワードが違います [sakura@centos ~]$
[root@centos ~]# tail -f /var/log/secure : : Apr 27 23:10:44 centos su: pam_unix(su-l:auth): authentication failure; logname=sakura uid=501 euid=0 tty=pts/1 ruser=sakura rhost= user=root
以上のように/var/log/secureを監視することにより、接続ユーザの確認をすることができます。