SSHログのこれらのエントリはどういう意味ですか?
最近、SSHログに不明なIPアドレスからのエントリがあることに気付きました。私はgrepを実行して、自分のIPアドレスが含まれていないすべてのエントリを抽出しました。これが提示されました:
Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user
少し質問があります:
- 最初の2行はsuccessfullまたはattemptedログインですか?
- 3行目はsuccessfullまたはattemptedのログインによる切断ですか?
- 角括弧で囲まれた4桁の数字はPIDの
sshdの後ろですか?
専用サーバーでCentOS 5を実行しています。私はOpenSSHを使用しています。
最初の2行は成功したログインです。
3行目は、2行目で行われた接続が切断されたことを示します(角かっこ内のPID(この場合は8233)は同じであり、生成され、公開鍵を受け入れたSSHDプロセスが切断されたことを示します...同じプロセスでログに2行が生成されました)。
PIDは、特定のセッションを追跡するために使用できる方法です。 SSHDへの接続が確立されると、新しいプロセスが一意のPIDで生成されます(任意の1つのインスタンスで一意-そのPIDは、すべてのPIDが最終的にリサイクルされるため、しばらくして、場合によっては数時間または数日後に再利用できます)。接続が存続している限り、そのプロセスは接続にとどまります。したがって、特定のPIDをgrepすると、その接続で何が起こったかの履歴を取得できます。
- はい、彼らは成功したようです。
sshdには、~root/.ssh/authorized_keysに存在する公開鍵が提示されました。 - ログインに成功した接続以外からこのメッセージを見たことはありません。
- はい、これはPIDです。