1

我想知道,如果输出

lsof -i 

sshd      21880     root    3r  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      21882     mike    3u  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      23853     root    3u  IPv6  960417       TCP *:ssh (LISTEN)
sshd      23853     root    4u  IPv4  960419       TCP *:ssh (LISTEN)
sshd      24043     root    3r  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
sshd      24044     sshd    3u  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)

这是否意味着有人已经登录系统并且当前正在做某事?或者意味着它只是试图登录?我不太确定。

有什么线索吗?谢谢

4

2 回答 2

2

据此_

lsof -i 仅显示活动的 tcp 连接。因此它不会告诉您是否已登录或仍在尝试进行身份验证。

如果您想查看谁已登录以及从哪里可以运行“谁”命令。这将为您提供登录用户的列表以及从何处登录(例如 ssh、tty 等)

于 2009-06-12T19:04:43.913 回答
0

“ESTABLISHED”表示 TCP 连接已建立,即握手已在 TCP/IP 级别执行。在 ssh 进程看到任何数据之前,这是必需的。从理论上讲,在 ESTABLISHED 模式下,连接可能会很长,而不会发送任何数据,具体取决于超时设置(在 TCP 级别和/或 sshd 配置上)。期望登录发生在它之后。

要进一步了解它,请使用 'iptraf' 来监控流量,或查看 /var/log/auth.log(至少在 Debian 系统上)以查看谁成功登录。

于 2009-06-12T19:14:16.433 回答