Linux
我的 SSH 日誌中的這些條目是什麼意思?
我最近注意到我的 SSH 日誌中有來自未知 IP 地址的條目。我執行了一個
grep
提取所有不包含我自己的 IP 地址的整體。我收到了這個:Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2 Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2 Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user
我有幾個問題:
- 前兩行是成功還是嘗試登錄?
- 第三行是由於成功或嘗試登錄而導致的斷開連接嗎?
sshd
PID後面的方括號中的四位數字是多少?我在專用伺服器上執行 CentOS 5。我正在使用 OpenSSH。
前兩行是成功登錄。
第三行表示在第二行建立的連接斷開(注意方括號中的 PID,在本例中為 8233,是相同的,表示生成並接受公鑰的 SSHD 程序現在已斷開連接……相同的過程在日誌中生成了兩行)。
PID 是您可以用來跟踪特定會話的方法。當與 SSHD 建立連接時,會生成一個具有唯一 PID 的新程序(在任何一個實例中都是唯一的 - 該 PID 可能會在一段時間後重用,可能是幾個小時或幾天后,因為所有 PID 最終都會被回收)。只要連接存在,該過程就會一直存在。因此,如果您使用 grep 查找特定的 PID,您可以獲得該連接上發生的事情的歷史記錄。