稼働ログから確認できるセキュリティ上の懸念点を以下に提案します。
ログから確認されたセキュリティ上の懸念点
-
外部からのSSHアクセス 外部IPアドレス
125.198.**.**から、d***ユーザーによる公開鍵認証を使ったSSHアクセスが確認されています。- 日時: 2月2日 07:33から07:48にかけてアクセスがありました。
- 対応が必要な点: このアクセスが正規の運用(リモートメンテナンスなど)によるものかを確認し、そうでない場合は不正アクセスとして調査が必要です。正規のアクセスである場合も、アクセス元IPアドレスを固定する、VPN経由を必須とするなど、アクセス制御の強化を検討してください。
-
ユーザーアカウントの管理 SSHアクセスに使用された
d***ユーザーはUID=1xxx でセッションを開いています。このユーザーが外部からSSH接続することを許可されているのか、またこのユーザーがシステム内でどのような権限を持っているのかを確認し、職務分掌と最小権限の原則に沿っているかを検証する必要があります。
その他のログ情報に基づくと、システムに直ちに影響を与えるような重大な警告やリソース枯渇の兆候は見られません。警告ログは空であり、CPU使用率も安定しています。