人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

lastコマンドが表示されません。ハッキング&改竄されたのでしょうか?

Ubuntu10.04のサーバを管理しています(初学者です)。
先ほどlastコマンドを実行すると1件しかありませんでした。cat /var/log/wtmp も1行のみです。
2日前にはありましたし、設定を変えた記憶もありません(月を跨ぐと消えるのでしょうか?)。

そこで質問なのですが、lastコマンド以外にログインされたかどうかを調べる方法を教えてください(おそらくsyslogを参照すると思うのですが具体的にお願いします)。

現在のセキュリティの設定は、ufwでデフォルトDenyにし、22番のみAllow。
/etc/ssh/sshd_config の主な設定を抜粋すると以下のように公開鍵認証のみ許可してあります。
PermitRootLogin yes
PubkeyAuthentication yes
ChallengeResponseAuthentication no
PasswordAuthentication no

秘密鍵を知っているのは、私とクラウド業者(中国)だけのはずです。

●質問者: gfs
●カテゴリ:コンピュータ インターネット
✍キーワード:10.04 ETC SSH syslog UFW
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● あすか
●20ポイント

lastコマンドは直近1週間前のログだけ表示するものですが、2日前に表示されているものが無くなるというのは奇妙ですね。


まず、lastlogで履歴が表示されるかどうか調べてみて下さい。

◎質問者からの返答

さっそくの回答ありがとうございます。

ログインしたことがあるのはrootのみで、直近の私のログインが表示されました。IPアドレスも私のものです。

exitしてからもう一度lastlogしてみましたが、1件しか表示されないため、このコマンドは直近のログインだけを確認できるということですよね?

もし本来は履歴すべてがみれるのであれば、設定を改竄された可能性がでてきます。


2 ● うぃんど
●50ポイント ベストアンサー

>月を跨ぐと消えるのでしょうか?

月を跨ぐとバックアップを作成の後にクリアする設定にしてある可能性は高いです

周期やバックアップ先についてはログローテーションの設定を確認してみてください

http://linux.kororo.jp/cont/server/logrotate.php

バックアップファイルが判れば last -f ファイル名 で参照してみてください

>cat /var/log/wtmp も1行のみ

wtmpはバイナリファイルなのでcat -v /var/log/wtmpとするほうが良いです

良いですが、バイナリファイルを直接見ても正直わからないと思います

不正アクセス確認のためならばwtmp以外に /var/log/auth や /var/log/secure なども見てみると良いかもしれません

◎質問者からの返答

ありがとうございます。解決しました。

ログローテーションの設定で/var/log/wtmpが "monthly" となっているため、月跨ぎで/var/log/wtmp.1となり、新しいログファイルへと置き換わっていたことによるものでした。

/var/log/wtmp {

monthly

create 0664 root utmp

rotate 1

}

※ちなみにAmazon EC2のUbuntuでも同様の設定がされており、先月分のログイン履歴はlastコマンドから見ることができませんでした

/var/log/auth や /var/log/secure については別途勉強していきたいと思います。

ありがとうございました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ