Linux

我的 SSH 日誌中的這些條目是什麼意思?

  • July 25, 2013

我最近注意到我的 SSH 日誌中有來自未知 IP 地址的條目。我執行了一個grep提取所有不包含我自己的 IP 地址的整體。我收到了這個:

Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user

我有幾個問題:

  • 前兩行是成功還是嘗試登錄?
  • 第三行是由於成功嘗試登錄而導致的斷開連接嗎?
  • sshdPID後面的方括號中的四位數字是多少?

我在專用伺服器上執行 CentOS 5。我正在使用 OpenSSH。

前兩行是成功登錄。

第三行表示在第二行建立的連接斷開(注意方括號中的 PID,在本例中為 8233,是相同的,表示生成並接受公鑰的 SSHD 程序現在已斷開連接……相同的過程在日誌中生成了兩行)。

PID 是您可以用來跟踪特定會話的方法。當與 SSHD 建立連接時,會生成一個具有唯一 PID 的新程序(在任何一個實例中都是唯一的 - 該 PID 可能會在一段時間後重用,可能是幾個小時或幾天后,因為所有 PID 最終都會被回收)。只要連接存在,該過程就會一直存在。因此,如果您使用 grep 查找特定的 PID,您可以獲得該連接上發生的事情的歷史記錄。

引用自:https://serverfault.com/questions/526149