画像提供:マイナビニュース

写真拡大

Tecmintは2018年12月28日(米国時間)、「How to Find All Failed SSH login Attempts in Linux」において、LinuxでSSHログインに失敗した記録を調べる方法を紹介した。SSHの不正ログインはよく試みられる攻撃の1つで、SSHログインの失敗を調べることは攻撃状態を調べる上で役に立つ。

紹介されている方法は次のとおり。

○grepコマンドでログをチェック

grep "Failed password" /var/log/auth.log

○catコマンドとgrepコマンドでログをチェック

cat /var/log/auth.log | grep "Failed password"

○egrepコマンドでログをチェック

egrep "Failed|Failure" /var/log/auth.log

○egrepコマンドでログをチェック(Red Hat Enterprise Linux / CentOS)

egrep "Failed|Failure" /var/log/secure

○ログインに失敗したアクセス元IPを一覧表示

grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

○systemdを使っている場合の調査方法

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"

○systemdを使っている場合の調査方法(Ret Hat Enterprise Linux / CentOS)

journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"

SSHの不正ログインに対して自動的にブロック処理を実施するためのソフトウェアがいくつかある。運用する段階では手動ではなく、そうしたブロックソフトウェアを利用することが多い。