建立LSOF连接

时间:2009-06-12 18:59:35

标签: linux lsof

我想知道,如果输出

lsof -i 

sshd      21880     root    3r  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      21882     mike    3u  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      23853     root    3u  IPv6  960417       TCP *:ssh (LISTEN)
sshd      23853     root    4u  IPv4  960419       TCP *:ssh (LISTEN)
sshd      24043     root    3r  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
sshd      24044     sshd    3u  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)

这是否意味着某人已登录系统并正在做某事?或者意味着它只是想尝试登录?我不太确定。

任何线索?感谢

2 个答案:

答案 0 :(得分:2)

根据this

lsof -i仅显示活动的tcp连接。因此,它不会告诉您是否已登录或仍在尝试进行身份验证。

如果要检查谁登录,以及从哪里运行“who”命令。 这将为您提供登录用户列表和登录位置(例如ssh,tty等)

答案 1 :(得分:0)

'ESTABLISHED'表示已建立TCP连接,即已在TCP / IP级别上执行握手。在ssh进程看到任何数据之前,这是必需的。从理论上讲,在ESTABLISHED模式下连接可能会很长,而不会根据设置的超时(在TCP级别和/或sshd配置上)发送任何数据。预计登录后会发生。

要进一步研究,请使用“iptraf”监控流量,或者查看/var/log/auth.log(至少在Debian系统上),以查看谁成功登录。