어떤 이유로 서버에 "사용자" 계정이 하나만 있다고 가정해 보겠습니다 shhd. 모든 사람은 ssh"사용자"로서 서버 에 대한 자신만의 개인 키를 가지고 있습니다 .
그러면 그 사람이 누구인지(세션 중이나 세션 후에) 확인할 수 있는 방법이 있나요?
답변1
시스템 로그에서 어떤 SSH 공개 키가 사용되었는지 확인할 수 있습니다.
syslog의 인증 하위 집합은 일반적으로 위치합니다 /var/log/auth.log. 전체 시스템 로그에 대해 /var/log/syslog또는 를 시도할 수 있습니다 /var/log/messages.
로그 줄은 다음과 같아야 합니다.
9월 10일 19:17:00 server.example.com sshd[1337]: 127.0.0.1 포트 59934 ssh2에서 ansible의 공개 키 수락: RSA 5a:5d:18:5d:21:b4:e3:f3:8a :ec: c3:d6:93:99:87:ae
다음과 같은 도구를 사용하여 이 로그를 구문 분석할 수 있어야 합니다.로그 저장실제 통계를 구축하세요.