Недавно я заметил, что в моих журналах SSH есть записи с неизвестного IP-адреса. Я выполнил grep чтобы извлечь все записи, которые не содержат моего IP-адреса. Мне подарили это:
Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user
У меня есть несколько вопросов:
sshd ПИД?Я запускаю CentOS 5 на выделенном сервере. Я использую OpenSSH.
Первые две строки - успешный вход.
Третья строка указывает на то, что соединение, установленное во второй строке, было отключено (обратите внимание, что PID в квадратных скобках, в данном случае 8233, тот же самый, что указывает на то, что процесс SSHD, который был создан и принял открытый ключ, теперь отключен ... тот же процесс сгенерировал две строки в журнале).
PID - это метод, который вы можете использовать для отслеживания определенного сеанса. Когда устанавливается соединение с SSHD, создается новый процесс с уникальным PID (уникальным в любом отдельном случае - этот PID может быть повторно использован через некоторое время, возможно, через несколько часов или дней, поскольку все PID в конечном итоге будут переработаны). Этот процесс остается с подключением до тех пор, пока оно существует. Итак, если вы введете с помощью grep конкретный PID, вы сможете получить историю того, что произошло с этим соединением.
sshd был представлен открытый ключ, который существует в ~root/.ssh/authorized_keys.