Como saber qual chave pública foi usada quando alguém usou o login ssh sem senha?

Navegue suas respostas
3

Digamos que, por algum motivo, exista apenas uma conta de "usuário" em um servidor shhd . Todo mundo tem sua própria chave privada para ssh para o servidor, como "usuário".

Então, há uma maneira de ver quem é ele (durante ou depois de sua sessão)?

    
por Magicloud 11.09.2014 / 05:52

1 resposta

7

Você pode ver qual chave pública SSH foi usada no syslog.

O subconjunto de autenticação do syslog está geralmente em /var/log/auth.log . Para todo o syslog, você pode tentar /var/log/syslog ou /var/log/messages .

As linhas de log devem se parecer com isso:

Sep 10 19:17:00 server.example.com sshd[1337]: Accepted publickey for ansible from 127.0.0.1 port 59934 ssh2: RSA 5a:5d:18:5d:21:b4:e3:f3:8a:ec:c3:d6:93:99:87:ae

Você deve ser capaz de analisar esse log com uma ferramenta como o logstash para criar estatísticas reais.

    
por 11.09.2014 / 06:37

Tags

$ PATH variável de ambiente não parece ser reconhecida encaminhamento do tráfego da web através de um vps rodando no Ubuntu em outro país