O que significam essas entradas em meus logs SSH? [duplicado]

Question

O que significam essas entradas em meus logs SSH? [duplicado]

#1 resposta do (4 votos)
#2 resposta do (2 votos)

4

Recentemente, notei que tenho entradas de um endereço IP desconhecido em meus registros SSH. Eu executei um grep para extrair todas as entradas que não continham meu próprio endereço IP. Eu fui apresentado com isto:

Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user

Eu tenho algumas perguntas:

As primeiras duas linhas successfull ou tentaram log ins?
A terceira linha é uma desconexão resultante de um login bem sucedido ou tentado ?
O número de quatro dígitos entre colchetes aparece após sshd do PID?

Estou executando o CentOS 5 em um servidor dedicado. Estou usando o OpenSSH.

ssh login logging linux centos

por GhostInTheSecureShell 25.07.2013 / 11:28

2 respostas

2

Sim, eles parecem bem-sucedidos. sshd foi apresentado com uma chave pública que existe em ~root/.ssh/authorized_keys .
Eu nunca vi essa mensagem de outra forma que não seja uma conexão com login bem-sucedido.
Sim, seria o PID.

por 25.07.2013 / 11:33

Tags ssh login logging linux centos

Como você pode filtrar o mail.info do syslog? A migração ao vivo do OpenStack é possível sem armazenamento compartilhado?

score 4 · Accepted Answer

As primeiras duas linhas são logins bem-sucedidos.

Terceira linha indica que a conexão feita na segunda linha foi desconectada (observe que o PID entre colchetes, neste caso 8233, é o mesmo, indicando que o processo SSHD criado e aceito uma chave pública foi desconectado agora ... o mesmo processo gerou as duas linhas no log).

O PID é o método que você pode usar para rastrear uma sessão específica. Quando é feita uma conexão ao SSHD, um novo processo é gerado com um PID exclusivo (único em qualquer instância - o PID pode ser reutilizado algum tempo depois, talvez várias horas ou dias depois, pois todos os PIDs são eventualmente reciclados). Esse processo fica com a conexão enquanto a conexão estiver ativa. Então, se você quiser um PID em particular, pode obter um histórico do que aconteceu nessa conexão.