在拖尾/var/log/auth.log时,我注意到用户“foo”每分钟(立即)输入多个条目。我个人只有一个连接作为用户“root_bar”打开,同时拖尾auth.log(下面的日志示例)。如您所见,没有此传入 SSH 连接的 IP 信息。跟踪传入 SSH 连接的 IP 地址的最佳方法是什么?
Aug 10 14:30:04 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:04 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:06 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:06 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:08 ps2000 CRON[16879]: (pam_unix) session closed for user root_bar
Aug 10 14:30:14 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:14 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:16 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:16 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:27 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:27 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:39 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:39 ps2000 suexec: (pam_unix) session closed for user root_bar
免责声明:出于安全原因,服务器名称和所有用户信息均已更改。
更正:问题“跟踪传入的 SSH 连接”已由下面的张贴者正确回答。消息suexec (pam_unix) session不一定表示sshd@aseq 澄清的任何活动,由于我的无知,我将其发布为 sshd 问题。由于原始问题及其答案很有帮助,因此我接受了最有帮助的答案。我认为追踪suexec: (pam_unix) session是一个单独问题的候选者。
最后更新:我发现上面的消息确实与 sshd 有关。在 /etc/pam.d/common-auth 中做了一些调整后,我开始看到诸如
Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session opened for user summer_flag by (uid=0)
Aug 10 16:45:23 candy_bass sshd[427]: PAM pam_parse: expecting return value; [...sucess=1 default=ignore]
Aug 10 16:45:23 candy_bass sshd[427]: PAM pam_parse: expecting return value; [...sucess=1 default=ignore]
Aug 10 16:45:23 candy_bass sshd[427]: Accepted publickey for summer_flag from xxx.zzz.yyy.abc port 35964 ssh2
Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session opened for user summer_flag by (uid=0)
Aug 10 16:45:23 candy_bass pam_limits[427]: setrlimit limit #11 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0
Aug 10 16:45:23 candy_bass pam_limits[427]: setrlimit limit #12 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0
Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session closed for user summer_flag
所以这与sshd 有关,但是,由于这是特定于 token-auth 供应商(出于隐私原因我没有透露其名称),我认为供应商可能会更好地解决这个问题。
这些日志条目看起来如何?
ssh 服务器应该默认将 IP 地址记录在 /var/log/auth.log 和其他日志文件中,例如:
如果您询问的日志条目中没有字符串“sshd”,我怀疑它们实际上来自 ssh 服务器,您需要查看其他地方。查看主机名后面的字符串,它告诉您哪个程序正在写入日志。
您还可以检查 /etc/ssh/sshd_config 并查看日志级别是否正确,挤压时的默认值是:
也许增加冗长可能会揭示更多信息。您添加到问题中的日志条目前面应该有上面粘贴的日志条目。
每当建立连接时,您都会看到 SSH 连接打开和关闭,无论是否有人成功登录。
要查看有关通过 ssh 成功和失败登录尝试的更多信息,请查看
/var/log/secure和/或/var/log/messages。***请注意,该位置可能因您的 Linux 发行版和/或您的托管服务提供商而异。*
如果您有权访问服务器上的 root 用户,则可以利用 iptables 为 tcp 端口 22 上的所有新连接实施“日志”语句。这会将信息添加到 /var/log/messages 文件中,指示即将到来的连接入站到您的服务器。
如果您正在运行 IPv6,我相信那里的防火墙应该是 iptables6。
auth.log我通过注释掉ChallengeResponseAuthentication和UsePAM设置来/etc/ssh/sshd_config解决问题的开始和结束会议至
换句话说,我暂时禁用了 PAM 模块,同时我与它的供应商一起找出正确的设置。
可能与 Windows 服务器在同一网络上存在 ip 冲突