Соединение с LSOF установлено

Question

Мне было интересно, если на выходе

lsof -i 

sshd      21880     root    3r  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      21882     mike    3u  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      23853     root    3u  IPv6  960417       TCP *:ssh (LISTEN)
sshd      23853     root    4u  IPv4  960419       TCP *:ssh (LISTEN)
sshd      24043     root    3r  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
sshd      24044     sshd    3u  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)

Означает ли это, что кто-то вошел в систему и в настоящее время что-то делает? или значит он просто пытается войти? Я не совсем уверен в этом.

Есть какие-нибудь подсказки? Спасибо

Answer 1

Согласно это

lsof -i показывает только активные соединения TCP. Таким образом, он не говорит вам, если вы вошли в систему или все еще пытаетесь пройти проверку подлинности.

если вы хотите проверить, кто вошел в систему и откуда вы можете выполнить команду "кто". который выдаст вам список пользователей, вошедших в систему и из которых они вошли (например, ssh, tty и т. д.)

Answer 2

«УСТАНОВЛЕНО» означает, что установлено соединение TCP, т. Е. Рукопожатие выполнено на уровне TCP / IP. Это необходимо до того, как процесс ssh увидит какие-либо данные вообще. Теоретически, соединение может быть довольно продолжительным в режиме УСТАНОВЛЕНО без отправки каких-либо данных в зависимости от установленного времени ожидания (на уровне TCP и / или конфигурации sshd). Ожидайте входа в систему после этого.

Чтобы узнать больше, используйте «iptraf» для мониторинга объема трафика или посмотрите /var/log/auth.log (по крайней мере, в системе Debian), чтобы узнать, кто успешно вошел в систему.