ฉันใช้เซิร์ฟเวอร์ไฟล์ linux สำหรับสำนักงานของฉันและเราใช้ SFTP สำหรับพันธมิตรระยะไกลเพื่อเข้าสู่ระบบและดาวน์โหลดไฟล์ มีวิธีดูว่ามีการเชื่อมต่อหรือการเข้าสู่ระบบที่ใช้งานอยู่หรือไม่เพื่อให้ฉันสามารถทราบได้ว่าจะปลอดภัยเมื่อทำการบำรุงรักษาเครื่องหรือไม่?
เนื่องจากเครื่องเกือบจะให้บริการไฟล์ขนาดใหญ่เกือบตลอดเวลาการบำรุงรักษาตามกำหนดเวลาจึงมักถูกกระแทกเนื่องจากมีคนอัพโหลด
คำตอบ:
คุณยังสามารถทำสิ่งต่อไปนี้
ps -ef | grep '[s]shd' | grep -v ^root
ซึ่งควรแสดงเซสชัน sshd ใด ๆ (ซึ่งใช้สำหรับ sftp) ฉันสังเกตเห็นบนเครื่องของฉันบรรทัดคำสั่งกระบวนการ sshd ของฉันมี '$ USER @ notty' ซึ่งสมเหตุสมผลเนื่องจากฉันไม่ได้เข้าสู่ระบบด้วยเทอร์มินัลเซสชัน คุณสามารถเพิ่ม grep ด้านบนด้วย:
ps -ef | grep '[s]shd:.*@notty' | grep -v ^root
BTW:เครื่องหมายวงเล็บเหลี่ยมใน grep จะไม่แสดงกระบวนการ 'grep sshd' ในรายการกระบวนการ [s] shd จับคู่ sshd แต่ไม่ตรงกับตัวเอง มันช่วยให้ 'grep -v grep'
คุณสามารถลอง
fuser -u ssh/tcp
ฉันคิดว่าคุณสามารถใช้โปรแกรมบรรทัดคำสั่งwhoเพื่อดูสิ่งนี้ ฉันสังเกตเห็นรายงานบางอย่างว่าการทำเช่นนั้นไม่ได้ผล แต่ฉันยังคงคิดว่ามันอาจใช้งานได้ (อาจเป็นการตั้งค่า ssh)
SFTP ถูกสร้างขึ้นที่ด้านบนของ SSH มันหมายถึง "SSH File Transfer Protocol" และเมื่อคุณลงชื่อเข้าใช้ผ่าน ssh 'who' จะรวมคุณเป็นผู้ใช้ที่ล็อกอินด้วยเอาต์พุต ดังนั้นฉันคาดหวังว่าสิ่งนี้จะทำงานกับเซสชัน SFTP ที่ใช้งานอยู่ด้วย
นี้การอภิปรายจาก 2008ยังแสดงให้เห็นว่าคุณอาจจะใช้ 'netstat' สำหรับเรื่องนี้ นอกจากนี้ยังมีคำแนะนำในการเรียกใช้ 'ใคร' ผ่าน 'ดู' เพื่อให้คุณสามารถดูอัปเดตได้โดยไม่ต้องทำอะไร
netstat -atn | grep ':22'เพื่อดูว่ามีทราฟฟิกเปิดใช้งานบนพอร์ต 22 ฉันพบว่าฉันสามารถตรวจสอบบันทึก sshd ได้ที่ '/var/log/auth.log' ในระบบของฉันเพื่อดูว่าผู้ใช้ทั้งหมดที่เปิด เซสชันถูกปิด