SSHのログの見方(セキュリティー関連)

すべてのユーザーに鍵認証とかパスワード認証でSSHを開放している場合は、以下のようなログをチェック。

IP制限とかしてないとこういうのがやたらに来るので、一応注意。やたらとログインに失敗しているというのは怪しいし、すでにそのアクセス数が怪しい。
Failed password for root from 144.0.0.29 port 44664 ssh2
Invalid user test from 198.104.137.151

ログインに成功しちゃったログ。自分のIP以外の見知らぬものがあったらかなりマズイ。ヘタすればOS入れ替えた方がいいぐらい。
Accepted publickey for root from 12.34.56.78 port 52081 ssh2
Accepted password for dbm from 12.34.56.78 port 50632 ssh2

なので、SSHはiptableとかTCP/WrapperでIP制限かけないとマズイです。殊にrootをパスワード認証でどこからでも…って設定はかなり駄目。(秘密鍵認証でパスワードログイン不可ぐらいでやっと許せる範囲)ということなので、そんなセキュリティー・ポリシーにしましょう。
centos6-4インストール後の初期設定