На этот вопрос уже есть ответ здесь:
Недавно я заметил, что у меня есть записи с неизвестного IP-адреса в моих журналах SSH. Я выполнил grep
, чтобы извлечь все записи, которые не содержат моего собственного IP-адреса. Мне представили следующее:
Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user
У меня есть несколько вопросов:
sshd
PID? Я работаю CentOS 5 на выделенном сервере. Я использую OpenSSH.
Первые две строки являются успешными входами.
Третья строка указывает, что соединение, установленное на второй строке, было отключено (обратите внимание, что PID в квадратных скобках, в данном случае 8233, тот же , что указывает на то, что процесс SSHD, который был создан и принял открытый ключ, теперь отключен ... тот же процесс создал две строки в журнале).
PID - это метод, который вы можете использовать для отслеживания определенного сеанса. Когда устанавливается соединение с SSHD, создается новый процесс с уникальным PID (уникальным в любом конкретном случае - этот PID может быть повторно использован через некоторое время, возможно, через несколько часов или дней, поскольку все PID в конечном итоге будут переработаны). Этот процесс остается с подключением до тех пор, пока оно существует. Поэтому, если вы введете с помощью grep для конкретного PID, вы сможете получить историю того, что произошло с этим соединением.
sshd
был представлен с открытым ключом, который существует в ~ root / .ssh / authorized_keys
.