it-swarm-ru.tech

Список всех подключенных сессий SSH?

Я просто SSH'd в корень, а затем SSH'd снова в корень на той же машине. Таким образом, у меня есть два открытых окна SSH'd в root на моей удаленной машине.

Из командной строки, как я могу увидеть список этих двух сессий?

201
themirror

who или w; who -a для дополнительной информации.

Эти команды просто показывают все сеансы входа в систему на терминальном устройстве. Сеанс SSH будет на псевдо-терминальном подчиненном устройстве (pts), как показано в столбце TTY, но не все соединения pts являются сеансами SSH. Например, программы, которые создают псевдо-терминальное устройство, такое как xterm или screen, будут отображаться как pts. Смотрите Разница между pts и tty для лучшего описания различных значений, найденных в столбце TTY. Кроме того, этот подход не покажет никому, кто вошел в сеанс SFTP, так как сеансы SFTP не являются сеансами входа в систему Shell.

Я не знаю ни одного способа явно показать все сессии SSH. Вы можете получить эту информацию, прочитав информацию для входа в систему из utmp/wtmp с помощью таких инструментов, как last, w или who, как я Вы только что описали или использовали сетевые инструменты, такие как @sebelk, описанные в их ответе, чтобы найти открытые соединения tcp на порту 22 (или там, где слушает (-ют) ваш демон SSH).

Третий подход, который вы можете использовать, - это анализ выходных данных журнала от демона SSH. В зависимости от дистрибутива вашей ОС, дистрибутива SSH, конфигурации и т.д. Выходные данные журнала могут находиться в разных местах. На коробке RHEL 6 я нашел логи в /var/log/sshd.log. На коробке RHEL 7, а также на коробке Arch Linux мне нужно было использовать journalctl -u sshd для просмотра журналов. Некоторые системы могут выводить журналы SSH в системный журнал. Ваши журналы могут быть в этих местах или в другом месте. Вот пример того, что вы можете увидеть:

[myhost ~]% grep hendrenj /var/log/sshd.log | grep session
May  1 15:57:11 myhost sshd[34427]: pam_unix(sshd:session): session opened for user hendrenj by (uid=0)
May  1 16:16:13 myhost sshd[34427]: pam_unix(sshd:session): session closed for user hendrenj
May  5 14:27:09 myhost sshd[43553]: pam_unix(sshd:session): session opened for user hendrenj by (uid=0)
May  5 18:23:41 myhost sshd[43553]: pam_unix(sshd:session): session closed for user hendrenj

Журналы показывают, когда сеансы открываются и закрываются, кому принадлежит сеанс, откуда пользователь подключается и многое другое. Тем не менее, вам придется выполнить партию анализа, если вы хотите получить это из простого, понятного человеку журнала событий в список активных в данный момент сеансов, и он, вероятно, не будет точным списком, когда вы закончите синтаксический анализ, так как журналы на самом деле не содержат достаточно информации, чтобы определить, какие сеансы все еще активны - вы, по сути, просто догадываетесь. Единственное преимущество, которое вы получаете, используя эти журналы, состоит в том, что информация поступает непосредственно из SSHD, а не из вторичного источника, как другие методы.

Я рекомендую просто использовать w. В большинстве случаев это даст вам необходимую информацию.

207
jayhendren

Вы можете увидеть каждый сеанс SSH с помощью следующей команды:

[[email protected] ~]# netstat -tnpa | grep 'ESTABLISHED.*sshd'
tcp        0      0 192.168.1.136:22            192.168.1.147:45852         ESTABLISHED 1341/sshd           
tcp        0      0 192.168.1.136:22            192.168.1.147:45858         ESTABLISHED 1360/sshd

О, возможно, это может быть полезно:

[[email protected] ~]# ps auxwww | grep sshd:
root      1341  0.0  0.4  97940  3952 ?        Ss   20:31   0:00 sshd: [email protected]/0 
root      1360  0.0  0.5  97940  4056 ?        Ss   20:32   0:00 sshd: [email protected]/1 
root      1397  0.0  0.1 105300   888 pts/0    S+   20:37   0:00 grep sshd:
119
sebelk

Вы также можете использовать

ps ax | grep sshd
14
Joel Inglao

Расширяя ответ @ себелька:

Решение, использующее netstat, является хорошим, но требует привилегий root. В дополнение net-tools пакет (который обеспечивает netstat) устарел в некоторых более новых дистрибутивах Linux ( https://dougvitale.wordpress.com/2011/12/21/deprecated-linux-networking-commands-and -ая-замена / ).

Альтернативное решение - использовать замену для netstat, ss. Например (обратите внимание, вам больше не нужен root):

[email protected]:~# ss | grep ssh
tcp    ESTAB      0      0      192.168.1.136:ssh                  192.168.1.147:37620                
tcp    ESTAB      0      0      192.168.1.136:ssh                  192.168.1.147:37628
8
A.Meijer

Добавлено для простой ссылки.

Если вы находитесь в псевдооболочке (пример:/dev/pts/0), одним из самых простых способов будет:

[[email protected] ~]$ echo $SSH_CONNECTION

Он должен вернуть: ваш ip и порт и ip, к которому вы подключены и порт

192.168.0.13 50473 192.168.0.22 22

Вы также можете получить некоторую информацию, используя tty или who (w): (edit: я вижу, что теперь это список выше в другом посте)

[[email protected] ~]$ who
user1 tty1          2018-01-03 18:43
user2 pts/0        2018-01-03 18:44 (192.168.0.13)
8
user267194

Ты можешь использовать

last | head

Я использовал это в своем скрипте .login в течение многих лет, чтобы увидеть, кто недавно вошел в систему. Это было устройство с плохой безопасностью, чтобы посмотреть, не был ли кто-то в системе, используя ваш логин.

2
J.O. Williams

Я выполнил почти все вышеперечисленные команды, и я думаю, что лучший способ найти вошедших в систему пользователей через ssh:

last | grep "still logged in"

А ТАКЖЕ

who -a
0
Mian Asbat Ahmad