Что означают эти записи в моих журналах SSH? [дубликат]
На этот вопрос уже есть ответ здесь:
- Как мне поступить со взломанным сервером? 13 ответов
Недавно я заметил, что у меня есть записи с неизвестного IP-адреса в моих журналах SSH. Я выполнил grep , чтобы извлечь все записи, которые не содержат моего собственного IP-адреса. Мне представили следующее:
Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user
У меня есть несколько вопросов:
- Первые две строки успешны или пытались войти в систему?
- Третья строка отключена результат успешной или попытки входа в систему?
- Является ли четырехзначное число в квадратных скобках после
sshdPID?
Я работаю CentOS 5 на выделенном сервере. Я использую OpenSSH.
Первые две строки являются успешными входами.
Третья строка указывает, что соединение, установленное на второй строке, было отключено (обратите внимание, что PID в квадратных скобках, в данном случае 8233, тот же , что указывает на то, что процесс SSHD, который был создан и принял открытый ключ, теперь отключен ... тот же процесс создал две строки в журнале).
PID - это метод, который вы можете использовать для отслеживания определенного сеанса. Когда устанавливается соединение с SSHD, создается новый процесс с уникальным PID (уникальным в любом конкретном случае - этот PID может быть повторно использован через некоторое время, возможно, через несколько часов или дней, поскольку все PID в конечном итоге будут переработаны). Этот процесс остается с подключением до тех пор, пока оно существует. Поэтому, если вы введете с помощью grep для конкретного PID, вы сможете получить историю того, что произошло с этим соединением.
- Да, они выглядят успешными.
sshdбыл представлен с открытым ключом, который существует в~ root / .ssh / authorized_keys. - Я никогда не видел это сообщение от кого-либо, кроме успешно вошедшего в систему соединение.
- Да, это был PID.