sshの失敗したログを確認する

  • 作成日 2021.10.16
  • ssh
sshの失敗したログを確認する

sshの失敗したログを確認するまでの手順を記述してます。

環境

  • OS Rocky Linux release 8.4 (Green Obsidian)

ログを確認

sshに、失敗したログインの履歴は以下で確認することが可能です。

sudo lastb

<出力結果>
appuser  ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 22:21 - 22:21  (00:00)    
ramesh   ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 22:14 - 22:14  (00:00)    
vnc      ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:51 - 17:51  (00:00)    
nina     ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:35 - 17:35  (00:00)    
desliga  ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:34 - 17:34  (00:00)    
deploy   ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:34 - 17:34  (00:00)    
billy    ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:33 - 17:33  (00:00)    
deploy   ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:31 - 17:31  (00:00)    
cpd      ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 17:28 - 17:28  (00:00)    
factorio ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 06:55 - 06:55  (00:00)    
roy      ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 06:53 - 06:53  (00:00)    
vnc      ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 06:51 - 06:51  (00:00)    
b        ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 06:49 - 06:49  (00:00)    
mac      ssh:notty    xxx.xxx.xxx.xxx    Mon Aug  9 06:49 - 06:49  (00:00)    

「lastb」コマンドは、ログインに失敗したログファイル(/var/log/btmp)を確認するためのものとなります。

また、アクセスしようしている「ユーザー」名の上位を確認したい場合は、以下のコマンドを実行します。

sudo lastb -i | awk '{print $1}' | sort | uniq -c | sort -nr | head -10

<出力結果>
      8 user
      8 deploy
      7 ftpuser
      5 server
      5 git
      4 vnc
      4 tom
      4 oracle
      4 ec2-user
      3 ts3

IPアドレスの場合は、3列目にあるので、

sudo lastb -i | awk '{print $3}' | sort | uniq -c | sort -nr | head -10

とします。