• CentOS 7 - journalctlでサービスを制御

    CentOS 7 - journalctlでサービスを制御

Tecmintは2018年12月28日(米国時間)、「How to Find All Failed SSH login Attempts in Linux」において、LinuxでSSHログインに失敗した記録を調べる方法を紹介した。SSHの不正ログインはよく試みられる攻撃の1つで、SSHログインの失敗を調べることは攻撃状態を調べる上で役に立つ。

紹介されている方法は次のとおり。

grepコマンドでログをチェック

grep "Failed password" /var/log/auth.log

catコマンドとgrepコマンドでログをチェック

cat /var/log/auth.log | grep "Failed password"

egrepコマンドでログをチェック

egrep "Failed|Failure" /var/log/auth.log

egrepコマンドでログをチェック(Red Hat Enterprise Linux / CentOS)

egrep "Failed|Failure" /var/log/secure

ログインに失敗したアクセス元IPを一覧表示

grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

systemdを使っている場合の調査方法

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"

systemdを使っている場合の調査方法(Ret Hat Enterprise Linux / CentOS)

journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"

SSHの不正ログインに対して自動的にブロック処理を実施するためのソフトウェアがいくつかある。運用する段階では手動ではなく、そうしたブロックソフトウェアを利用することが多い。