Ssh

什麼是“登錄但未披露公鑰 - 入侵?”意思是?

  • August 24, 2015

我已經設置了一個新的 debian vm 並安裝了 gitlab-ce。VM 上並沒有更多內容……從一開始,以下消息就開始出現在 auth.log 中:

Mon 2015-08-24 21:47:36.154862 CEST [s=a93d5b0787f54cb68c24d8c7c55985a4;i=2c1bc8;b=567468ca921c4b52ba291
   _TRANSPORT=syslog
   _UID=0
   _GID=0
   _BOOT_ID=567468ca921c4b52ba2911c8b97e5f3a
   _MACHINE_ID=b6d23c0be1dbee31de2dd2b1553a4f0c
   _HOSTNAME=kraken
   SYSLOG_FACILITY=4
   PRIORITY=4
   SYSLOG_IDENTIFIER=root
   _COMM=logger
   MESSAGE=ssh/bash[9276]: Logged in without disclosing public key - Intrusion?
   _PID=9283
   _SOURCE_REALTIME_TIMESTAMP=1440445656154862

到目前為止,它每天出現幾百次。

它到底是什麼意思?我應該擔心嗎?


**更新:**味精似乎確實來自 sshd

  1 23979 23979 23979 ?           -1 Ss       0   4:37 /usr/sbin/sshd -D  
23979  9274  9274  9274 ?           -1 Ss       0   0:00  \_ sshd: root@pts/2    
9274  9276  9276  9276 pts/2     9276 Ss+      0   0:00      \_ -bash

它似乎在每次從 root 登錄時觸發(至少也是如此),然後出現在日誌中一次到 40 次左右。

OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015

日誌條目表明,通過 pid,bash 使用該logger程序發布了日誌消息。這表明您的啟動腳本中的某些內容正在創建此消息。

引用自:https://serverfault.com/questions/716210