SSHによる無効または不明なユーザログイン試行が記録されていますか。
環境
- ONTAP 9
- SSH
- Event Management System(EMS;イベント管理システム)
回答
- 無効または不明なユーザの試行がEMSに記録されます:
Message Name:
Severity: NOTICE
概要 : このイベントは、認証エラーが原因でsshdがログイン試行を拒否した場合に発行されます。
対処方法: 有効なユーザ名とパスワードの組み合わせを使用してログインしてください。
sshd.auth.loginDeniedSeverity: NOTICE
概要 : このイベントは、認証エラーが原因でsshdがログイン試行を拒否した場合に発行されます。
対処方法: 有効なユーザ名とパスワードの組み合わせを使用してログインしてください。
例:
Thu Aug 4 18:05:09 +0300 [cluster1-01: sshd: sshd.auth.loginDenied:notice]: params: {'message': 'Failed keyboard-interactive / pam for invalid user user123 from 10.x.y.4 port 61582 ssh2 '}メッセージ名:
重大度: エラー
概要 :このメッセージは、ユーザがストレージシステムへのSecure Shell(SSH)接続を確立しようとしたときに、割り当てられたタイムアウト時間内にパスワードが提供されなかった場合に表示されます。このような接続を試行すると、他のユーザがストレージシステムにログインできなくなり、DoS攻撃を受ける可能性があります。
対処方法: リモートホストがSSH接続を繰り返し再試行している場合は、「firewall policy」コマンドを使用してリモートホストのIPアドレスを拒否リストに追加して、リモートホストをブロックします。
sshd.loginGraceTime.expired重大度: エラー
概要 :このメッセージは、ユーザがストレージシステムへのSecure Shell(SSH)接続を確立しようとしたときに、割り当てられたタイムアウト時間内にパスワードが提供されなかった場合に表示されます。このような接続を試行すると、他のユーザがストレージシステムにログインできなくなり、DoS攻撃を受ける可能性があります。
対処方法: リモートホストがSSH接続を繰り返し再試行している場合は、「firewall policy」コマンドを使用してリモートホストのIPアドレスを拒否リストに追加して、リモートホストをブロックします。
例:
09/23/2020 11:41:51 cluster1-01 ERROR sshd.loginGraceTime.expired: Timeout before password authentication for remote host 10.x.y.7- また、「不正ユーザ」認証エラーは、Messages.logで確認できます。
Fri Oct 16 08:18:35 2020 cluster1-01 [auth_sshd:error:45682] error: PAM: authentication error for illegal user test from 10.2.3.4