鶏口牛後な日々

魔法使い(なんでも作れるエンジニア)を目指してます。ブログは発散中

ssh接続でエラーが出た時に確認するべきログの在り処 [備忘メモ]

sshで接続ができなくなる時、原因は色々あるようですが(Permission deniedなど)、別の方法などで接続してログを確認する際、見る場所は、

/var/log/secure

なようです。 ここには、外からの攻撃されていた時のログなども上がってくるので、確認するとPermissionエラーなどは明示してくれるみたいです。

ログの例:

Oct 14 06:13:35 ip-133-33-33-133 sshd[24950]: Disconnected from 61.184.247.2 port 39400 [preauth]
Oct 14 06:15:16 ip-133-33-33-133 sshd[25033]: Received disconnect from 61.184.247.8 port 35632:11:  [preauth]
Oct 14 06:15:16 ip-133-33-33-133 sshd[25033]: Disconnected from 61.184.247.8 port 35632 [preauth]

「どこのIPアドレスから、ポートの何番にアクセスが来て、接続できなかった」みたいなことが書かれているようです。 こうみると、外からの攻撃ってひっきりなしにきているんだな、ってことが良くわかります。 ポートやIPを絞る必要がある意味がわかりますね。 AWSでは、セキュリティグループというところで、接続できるIPアドレスやポートを指定することができます。 ここで、 0.0.0.0/0 みたいに設定しておくと、「自分自身」を指すようで、ほかのIPアドレスは受け付けなくなります。

Oct 14 06:44:02 ip-133-33-33-133 sshd[26503]: Disconnected from 2.50.136.127 port 59803 [preauth]
Oct 14 06:44:05 ip-133-33-33-133 sshd[26507]: Invalid user contador from 2.50.136.127 port 59808

これや、

Oct 14 08:18:47 ip-133-33-33-133 sshd[31398]: Disconnected from 220.191.194.22 port 39071 [preauth]
Oct 14 08:18:54 ip-133-33-33-133 sshd[31406]: Invalid user ftpuser from 220.191.194.22 port 40230

これなんかをみると、 invalid user や、 invalid ftpuser などという文言があり、そのあたりでも制限がかかっているということかと思います。

Oct 14 11:13:34 ip-133-33-33-133 sshd[8156]: reverse mapping checking getaddrinfo for host-213.158.187.42.tedata.net [213.158.187.42] failed - POSSIBLE BREAK-IN ATTEMPT!

これとか、ちょっとビビりますが、 failed とちゃんと失敗していることがわかります。

以上。