sshによる不正アクセスを確認する

sshによる接続エラーや、rootにsuしたユーザなどを確認するには以下のログファイルにより確認できます。

/var/log/secure

関連資料

/var/log/secureの確認

以下、sshによる接続成功、接続失敗、suコマンドによりrootになった場合に出力されるログの例を記します。
尚、使用したディストリビューションはCentOSです。

sshによる接続成功

sshによる接続失敗(パスワード不一致)

以下のコマンドにより接続エラーとなった情報を抜き出すことができます。

# cat /var/log/secure | grep "Failed password"

sshにより接続後、su - によりrootにスイッチした場合

sshにより接続後、su - によりrootスイッチが失敗した場合

  1. 接続する側
    [sakura@centos ~]$ su -
    パスワード:
    su: パスワードが違います
    [sakura@centos ~]$ 
     
  2. 接続される側
    [root@centos ~]# tail -f /var/log/secure
        :
        :
    Apr 27 23:10:44 centos su: pam_unix(su-l:auth): authentication failure; logname=sakura uid=501 euid=0 tty=pts/1 ruser=sakura rhost=  user=root

以上のように/var/log/secureを監視することにより、接続ユーザの確認をすることができます。


 

トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS