r_nobuホームページ (のぶねこブログ)

CentOS 5では、SSH接続された時のログは、/var/log/ディレクトリ配下に保存される。

《CentOS 5でのSSHログファイル保存状況の確認例》
# ls -ahl /var/log/ | grep secure
-rw-------  1 root root 6.1K  6月 29 03:02 secure
-rw-------  1 root root 4.1K  6月 23 22:29 secure.1
-rw-------  1 root root 4.0K  6月 13 23:22 secure.2
-rw-------  1 root root 1.2K  6月  6 22:34 secure.3
-rw-------  1 root root 2.2K  6月  1 21:18 secure.4

SSHログを確認するには、catコマンド、headコマンド、tailコマンド等を使うことになる。

《CentOS 5でのSSHログファイルの確認例　〜tailコマンドでログの最終行から5行分のみ表示〜》
# tail -5 /var/log/secure
Jun 29 01:08:07 nobuneko sshd[3698]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.2.2  user=root
Jun 29 01:08:20 nobuneko sshd[3702]: reverse mapping checking getaddrinfo for neko.local failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 29 01:08:44 nobuneko sshd[3702]: Accepted password for nobu from 192.168.2.2 port 42688 ssh2
Jun 29 01:08:44 nobuneko sshd[3702]: pam_unix(sshd:session): session opened for user nobu by (uid=0)
Jun 29 01:08:52 nobuneko su: pam_unix(su-l:session): session opened for user root by nobu(uid=501)

このログを見ることで、誰が（どのようなユーザが）、いつ（年月日時分秒）、このサーバにSSH接続をしてこようとしてきたかが分かる。従って、このログを見ることで、不正アクセスの痕跡がないかどうか等を確認できるので、セキュリティチェックを行う時などに役に立つ。