このエントリーをはてなブックマークに追加


sshによる不正アクセスを確認する

sshによる接続エラーや、rootにsuしたユーザなどを確認するには以下のログファイルにより確認できます。

/var/log/secure

関連資料

関連記事

/var/log/secureの確認

以下、sshによる接続成功、接続失敗、suコマンドによりrootになった場合に出力されるログの例を記します。
尚、使用したディストリビューションはCentOSです。

sshによる接続成功

  • 接続する側
    $ ssh sakura@192.168.56.101
    sakura@192.168.56.101's password: 
    Last login: Wed Apr 27 22:57:05 2011 from 192.168.56.1
    [sakura@centos ~]$ 
  • 接続される側
    rootになってtailコマンドにより確認しました。
    [root@centos ~]# tail -f /var/log/secure
        :
        :
    Apr 27 22:58:25 centos sshd[3257]: Accepted password for sakura from 192.168.56.1 port 50064 ssh2
    Apr 27 22:58:25 centos sshd[3257]: pam_unix(sshd:session): session opened for user sakura by (uid=0)

sshによる接続失敗(パスワード不一致)

  • 接続する側
    $ ssh sakura@192.168.56.101
    sakura@192.168.56.101's password: 
    Permission denied, please try again.
    sakura@192.168.56.101's password: 
  • 接続される側
    rootになってtailコマンドにより確認しました。
    [root@centos ~]# tail -f /var/log/secure
        :
        :
    Apr 27 23:01:29 centos sshd[3394]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1  user=sakura
    Apr 27 23:01:31 centos sshd[3394]: Failed password for sakura from 192.168.56.1 port 50073 ssh2

以下のコマンドにより接続エラーとなった情報を抜き出すことができます。

# cat /var/log/secure | grep "Failed password"

sshにより接続後、su - によりrootにスイッチした場合

  • 接続する側
    $ ssh sakura@192.168.56.101
    sakura@192.168.56.101's password: 
    Last login: Wed Apr 27 23:06:39 2011 from 192.168.56.1
    [sakura@centos ~]$ su -
    パスワード:
    [root@centos ~]# 
  • 接続される側
    [root@centos ~]# tail -f /var/log/secure
        :
        :
    Apr 27 23:07:09 centos sshd[3441]: Accepted password for sakura from 192.168.56.1 port 50101 ssh2
    Apr 27 23:07:09 centos sshd[3441]: pam_unix(sshd:session): session opened for user sakura by (uid=0)
    Apr 27 23:07:23 centos su: pam_unix(su-l:session): session opened for user root by sakura(uid=501)
    最後の行のsession opened for user root by sakura(uid=501)がrootにスイッチした時に 出力されたメッセージです。

sshにより接続後、su - によりrootスイッチが失敗した場合

  1. 接続する側
    [sakura@centos ~]$ su -
    パスワード:
    su: パスワードが違います
    [sakura@centos ~]$ 
     
  2. 接続される側
    [root@centos ~]# tail -f /var/log/secure
        :
        :
    Apr 27 23:10:44 centos su: pam_unix(su-l:auth): authentication failure; logname=sakura uid=501 euid=0 tty=pts/1 ruser=sakura rhost=  user=root

以上のように/var/log/secureを監視することにより、接続ユーザの確認をすることができます。


 

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-02-11 (土) 11:38:17