我想知道,如果输出
lsof -i
sshd 21880 root 3r IPv4 4843515 TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd 21882 mike 3u IPv4 4843515 TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd 23853 root 3u IPv6 960417 TCP *:ssh (LISTEN)
sshd 23853 root 4u IPv4 960419 TCP *:ssh (LISTEN)
sshd 24043 root 3r IPv4 4871654 TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
sshd 24044 sshd 3u IPv4 4871654 TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
这是否意味着某人已登录系统并正在做某事?或者意味着它只是想尝试登录?我不太确定。
任何线索?感谢
答案 0 :(得分:2)
根据this
lsof -i仅显示活动的tcp连接。因此,它不会告诉您是否已登录或仍在尝试进行身份验证。
如果要检查谁登录,以及从哪里运行“who”命令。 这将为您提供登录用户列表和登录位置(例如ssh,tty等)
答案 1 :(得分:0)
'ESTABLISHED'表示已建立TCP连接,即已在TCP / IP级别上执行握手。在ssh进程看到任何数据之前,这是必需的。从理论上讲,在ESTABLISHED模式下连接可能会很长,而不会根据设置的超时(在TCP级别和/或sshd配置上)发送任何数据。预计登录后会发生。
要进一步研究,请使用“iptraf”监控流量,或者查看/var/log/auth.log(至少在Debian系统上),以查看谁成功登录。