我的 auth.log 包含这两种 ssh 条目:这些
Jun 27 07:28:25 myhost sshd[26898]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=some.ip.address.123 user=git
还有这些
Jun 20 21:46:18 myhost sshd[13881]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=some.ip.address.234
正如您所看到的,第二种不包含“user=”字段。否则它们具有相同的格式。这意味着什么?是否可以在没有用户名的情况下尝试 ssh 登录?
答案1
如果提供的用户在您的系统上无效(尝试使用ssh whateverthereisnot@localhost),则会写入没有 ruser 的行。
未知的用户名通常不会记录在日志中,因为这些可能是不同系统的用户名(意外登录尝试到错误的机器),或更糟糕的是密码(意外在用户名字段中输入)。