1

の出力が

lsof -i 

sshd      21880     root    3r  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      21882     mike    3u  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      23853     root    3u  IPv6  960417       TCP *:ssh (LISTEN)
sshd      23853     root    4u  IPv4  960419       TCP *:ssh (LISTEN)
sshd      24043     root    3r  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
sshd      24044     sshd    3u  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)

これは、誰かがシステムにログインし、現在何かをしていることを意味しますか? または、ログインしようとしているだけですか?私はそれについてよくわかりません。

手がかりはありますか?ありがとう

4

2 に答える 2

2

これによると

lsof -iは、アクティブなtcp接続のみを表示します。したがって、ログインしているか、認証を試みているかはわかりません。

誰がログインしていて、どこから「who」コマンドを実行できるかを確認したい場合。これにより、ログインしているユーザーとそこからログインした場所のリストが表示されます(ssh、ttyなど)。

于 2009-06-12T19:04:43.913 に答える
0

「ESTABLISHED」は、TCP 接続が確立されたことを意味します。つまり、ハンドシェイクが TCP/IP レベルで実行されました。これは、ssh プロセスがデータを見る前に必要です。理論的には、設定されたタイムアウト (TCP レベルおよび/または sshd 構成) によっては、データを送信せずに ESTABLISHED モードで接続が非常に長くなる可能性があります。その後、ログインが発生することを期待してください。

詳しく調べるには、'iptraf' を使用してトラフィック量を監視するか、/var/log/auth.log (少なくとも Debian システムでは) を参照して、誰が正常にログオンしたかを確認してください。

于 2009-06-12T19:14:16.433 に答える