LSOF接続が

Question

を設立し、私は思っていた、もし誰かがシステムにログインしており、現在は何かをしていることを意味するものではあり

lsof -i 

sshd  21880  root 3r IPv4 4843515  TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED) 
sshd  21882  mike 3u IPv4 4843515  TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED) 
sshd  23853  root 3u IPv6 960417  TCP *:ssh (LISTEN) 
sshd  23853  root 4u IPv4 960419  TCP *:ssh (LISTEN) 
sshd  24043  root 3r IPv4 4871654  TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED) 
sshd  24044  sshd 3u IPv4 4871654  TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED) 

ないの出力？それとも単にログインしようとしていることを意味しますか？私はそれについてはあまりよく分かりません。

手がかりはありますか？おかげ

Answer 1

-iあなただけアクティブなTCP接続を示してlsofをthis

によります。ログインしているか、まだ認証しようとしているかどうかは教えてくれません。

ログインしている人と「who」コマンドを実行できる場所を確認したい場合は、 ログインしたユーザのリストとそこからログインした場所のリストを表示します（例えばssh、ttyなど）

Answer 2

'ESTABLISHED'は、TCP接続が確立されていることを示します。つまり、ハンドシェイクはTCP/IPレベル。これは、sshプロセスがデータをまったく見る前に必要です。理論的には、タイムアウトの設定（TCPレベルおよび/またはsshd config）に応じてデータを送信せずに、ESTABLISHEDモードでは接続がかなり長くなる可能性があります。その後にログインが発生することを期待してください。

詳細を調べるには、トラフィックの量を監視するために 'iptraf'を使用するか、誰が正常にログオンしたかを見るために/var/log/auth.log（Debianシステムでは少なくとも）を参照してください。