2017年06月22日

Ubuntu サーバの設定 SSH ログファイルの確認

SSH接続時のアクセスログを確認してみる。
接続がうまくいかないとか、不正アクセスの確認などができるようになる。


Ubuntuのログファイルは、

/var/rog/auth.log


最新のものが "auth.log" で、次が "auth.log.1" 、さらに古いものは圧縮されて "auth.log.*.gz" となっている。

ログの確認には、catコマンド、headコマンド、tailコマンド等を使う。
例:ログの最終10行分を表示

cat /var/rog/auth.log | tail -50

smbd: pam_unix(samba:session): session closed for user nobody
smbd: pam_unix(samba:session): session closed for user nobody
sshd[3270]: Connection from 192.168.1.7 port 46678 on 192.168.1.150 port 22
sshd[3270]: Connection closed by 192.168.1.7 port 46678 [preauth]
sshd[3273]: Connection from 192.168.1.7 port 46680 on 192.168.1.150 port 22
sshd[3273]: Accepted publickey for ******** from 192.168.1.7 port 46680 ssh2: RSA SHA256:62ARlxPql1k5FKpT97R/N0/zwLf6BABwSf1U3NC6f7s
sshd[3273]: pam_unix(sshd:session): session opened for user ******** by (uid=0)
systemd-logind[715]: New session 6 of user ********.
sshd[3273]: User child is on pid 3324
sshd[3324]: Starting session: shell on pts/9 for ******** from 192.168.1.7 port 46680 id 0




ログレベルの設定ファイルは、

etc/ssh/sshd_config


設定箇所は、"LogLevel" ログレベル

sshd (8) が出力するログメッセージの冗長性レベルを指定します。とりうる値は次のとおりです: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG,DEBUG1, DEBUG2 および DEBUG3。デフォルトでは INFO です。DEBUG と DEBUG1 は等価です。DEBUG2、DEBUG3 はそれぞれさらに冗長なログになります。DEBUG レベル以上のログはユーザのプライバシーを侵害するので、勧められるものではありません。
引用:OpenSSH 日本語マニュアルページ

"QUIET" はログ出力を抑止。
デフォルトは "INFO" 。情報レベルのログを出力する。


どのようなアクセスがあるのか確認するために、普段の設定は、
"VERBOSE" とし、詳細レベルの出力ぐらいにとどめる。

SSH接続がうまくいかないときには、
公開鍵と合っていないとか、パーミッションの設定などが間違っている可能性が高いので、
そういうときは、"DEBUG" に変更して、誤っている箇所を確認するようにしてみるとよい。



Ubuntu サーバの初期設定 ssh
Ubuntu サーバの初期設定 ssh(秘密鍵)


posted by Zorinos at 20:00| Comment(2) | Linux | 更新情報をチェックする
この記事へのコメント
/var/rog/auth.log

じゃなくて

/var/log/auth.log

です〜
Posted by is2ei at 2018年07月01日 23:43
誤字ではないでしょうか

誤: cat /var/rog/auth.log | tail -50
正: cat /var/log/auth.log | tail -50
Posted by nyu at 2021年10月19日 17:03
コメントを書く
コチラをクリックしてください
ブログランキング・にほんブログ村へ