Tecmintは2018年12月28日(米国時間)、「How to Find All Failed SSH login Attempts in Linux」において、LinuxでSSHログインに失敗した記録を調べる方法を紹介した。SSHの不正ログインはよく試みられる攻撃の1つで、SSHログインの失敗を調べることは攻撃状態を調べる上で役に立つ。
紹介されている方法は次のとおり。
grepコマンドでログをチェック
grep "Failed password" /var/log/auth.log
catコマンドとgrepコマンドでログをチェック
cat /var/log/auth.log | grep "Failed password"
egrepコマンドでログをチェック
egrep "Failed|Failure" /var/log/auth.log
egrepコマンドでログをチェック(Red Hat Enterprise Linux / CentOS)
egrep "Failed|Failure" /var/log/secure
ログインに失敗したアクセス元IPを一覧表示
grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
systemdを使っている場合の調査方法
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
systemdを使っている場合の調査方法(Ret Hat Enterprise Linux / CentOS)
journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"
SSHの不正ログインに対して自動的にブロック処理を実施するためのソフトウェアがいくつかある。運用する段階では手動ではなく、そうしたブロックソフトウェアを利用することが多い。