ssh接続でエラーが出た時に確認するべきログの在り処 [備忘メモ]
sshで接続ができなくなる時、原因は色々あるようですが(Permission deniedなど)、別の方法などで接続してログを確認する際、見る場所は、
/var/log/secure
なようです。 ここには、外からの攻撃されていた時のログなども上がってくるので、確認するとPermissionエラーなどは明示してくれるみたいです。
ログの例:
Oct 14 06:13:35 ip-133-33-33-133 sshd[24950]: Disconnected from 61.184.247.2 port 39400 [preauth] Oct 14 06:15:16 ip-133-33-33-133 sshd[25033]: Received disconnect from 61.184.247.8 port 35632:11: [preauth] Oct 14 06:15:16 ip-133-33-33-133 sshd[25033]: Disconnected from 61.184.247.8 port 35632 [preauth]
「どこのIPアドレスから、ポートの何番にアクセスが来て、接続できなかった」みたいなことが書かれているようです。
こうみると、外からの攻撃ってひっきりなしにきているんだな、ってことが良くわかります。
ポートやIPを絞る必要がある意味がわかりますね。
AWSでは、セキュリティグループというところで、接続できるIPアドレスやポートを指定することができます。
ここで、 0.0.0.0/0
みたいに設定しておくと、「自分自身」を指すようで、ほかのIPアドレスは受け付けなくなります。
Oct 14 06:44:02 ip-133-33-33-133 sshd[26503]: Disconnected from 2.50.136.127 port 59803 [preauth] Oct 14 06:44:05 ip-133-33-33-133 sshd[26507]: Invalid user contador from 2.50.136.127 port 59808
これや、
Oct 14 08:18:47 ip-133-33-33-133 sshd[31398]: Disconnected from 220.191.194.22 port 39071 [preauth] Oct 14 08:18:54 ip-133-33-33-133 sshd[31406]: Invalid user ftpuser from 220.191.194.22 port 40230
これなんかをみると、 invalid user
や、 invalid ftpuser
などという文言があり、そのあたりでも制限がかかっているということかと思います。
Oct 14 11:13:34 ip-133-33-33-133 sshd[8156]: reverse mapping checking getaddrinfo for host-213.158.187.42.tedata.net [213.158.187.42] failed - POSSIBLE BREAK-IN ATTEMPT!
これとか、ちょっとビビりますが、 failed
とちゃんと失敗していることがわかります。
以上。