家では常に RaspberryPiが動いている状態。当然ssh環境も作ってある。不正ログインされていないかを定期的にモニタリングさせておく。
sshログイン試行状況を確認する。lastbコマンドを使う。
$ sudo lastb -10
大丈夫。不正なログイン試行は無さそうだ。手元のiMac(192.168.3.160)からの接続しかない。
しかし、これが 母艦fedoraになると様相が変わる。
$ sudo lastb -10
いくつかアクセス試行がある。1時間に1回程度のようだ。
nslookupで少し情報集めてみる。
$ nslookup サーバ名
DNSにはいずれ時間あるときに本格的に取り組んで解析する。
ssh のセッション確立状況を確認する(ラズパイ3)。
ん? /tmpにある agent が初見で気になるけど…これもいずれ調べる。
lastb と netstat をまとめて20秒ごとに実行し、sshのセッション試行と確立状況をモニタリングする。
$ for i in `seq 1 1000000`; do echo "$i回目"; sudo lastb -10; netstat -a | grep ssh; sleep 20; clear; done
しばらく流しておいて、不正ログインが大量に試行されるようなら対処を考える。
参考