sshの失敗したログを確認する
sshの失敗したログを確認するまでの手順を記述してます。
環境
- OS Rocky Linux release 8.4 (Green Obsidian)
ログを確認
sshに、失敗したログインの履歴は以下で確認することが可能です。
sudo lastb
<出力結果>
appuser ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 22:21 - 22:21 (00:00)
ramesh ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 22:14 - 22:14 (00:00)
vnc ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:51 - 17:51 (00:00)
nina ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:35 - 17:35 (00:00)
desliga ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:34 - 17:34 (00:00)
deploy ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:34 - 17:34 (00:00)
billy ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:33 - 17:33 (00:00)
deploy ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:31 - 17:31 (00:00)
cpd ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 17:28 - 17:28 (00:00)
factorio ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 06:55 - 06:55 (00:00)
roy ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 06:53 - 06:53 (00:00)
vnc ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 06:51 - 06:51 (00:00)
b ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 06:49 - 06:49 (00:00)
mac ssh:notty xxx.xxx.xxx.xxx Mon Aug 9 06:49 - 06:49 (00:00)
「lastb」コマンドは、ログインに失敗したログファイル(/var/log/btmp)を確認するためのものとなります。
また、アクセスしようしている「ユーザー」名の上位を確認したい場合は、以下のコマンドを実行します。
sudo lastb -i | awk '{print $1}' | sort | uniq -c | sort -nr | head -10
<出力結果>
8 user
8 deploy
7 ftpuser
5 server
5 git
4 vnc
4 tom
4 oracle
4 ec2-user
3 ts3
IPアドレスの場合は、3列目にあるので、
sudo lastb -i | awk '{print $3}' | sort | uniq -c | sort -nr | head -10
とします。
-
前の記事
javascript lodashを使って2つの数値の比較を>=で行う 2021.10.16
-
次の記事
C# 配列やリストにある特定のプロパティごとに振り分ける 2021.10.16
コメントを書く