我有一台 Solaris 机器(Solaris 10)
是否可以从我的机器(日志)中看到哪些机器尝试通过 SSH 连接到我的机器?
答案1
在 Solaris 10 系统上,我必须手动将 ssh 连接(和其他与身份验证相关的信息)记录到
/var/log/auth.log
例如
Oct 10 15:15:46 solbase sshd[1481]: [ID 800047 auth.info] Accepted publickey for iain from 192.168.254.188 port 52197 ssh2
是我与 Solaris 10 机器的连接,
Oct 10 15:17:33 solbase sshd[1481]: [ID 800047 auth.info] Received disconnect from 192.168.254.188: 11: disconnected by user
与同一台机器断开连接。
答案2
是的。假设您的日志设置得相当标准(并且 Sun 没有无端更改),您应该会看到类似这些日志的内容,这些日志来自/var/log/secure我手边的 Solaris 8 机器:
登录成功(使用公钥而不是密码):
Oct 10 15:09:15 xxxx sshd[22706]: [ID 800047 auth.info] Accepted publickey for myuser from 192.168.1.87 port 56035 ssh2
一次失败的尝试:
Oct 10 15:09:27 xxxx sshd[22726]: [ID 800047 auth.info] Illegal user fred from 192.168.1.87
Oct 10 15:09:27 xxxx sshd[22726]: [ID 800047 auth.info] Failed none for illegal user fred from 192.168.1.87 port 56036 ssh2
Oct 10 15:09:28 xxxx sshd[22726]: [ID 800047 auth.error] error: Could not get shadow information for NOUSER
Oct 10 15:09:28 xxxx sshd[22726]: [ID 800047 auth.info] Failed password for illegal user fred from 192.168.1.87 port 56036 ssh2