誰かがパスワードなしのSSHを使用してログインしたときにどの公開鍵が使用されたかをどうやって知ることができますか?

誰かがパスワードなしのSSHを使用してログインしたときにどの公開鍵が使用されたかをどうやって知ることができますか?

何らかの理由でサーバーに「ユーザー」アカウントが1つしかないとしますshhd。誰もがssh「ユーザー」としてサーバー用の独自の秘密鍵を持っています。

それでは、その人が誰であるか(セッション中またはセッション後)確認する方法がありますか?

答え1

システムログでどのSSH公開鍵が使用されているかを確認できます。

syslogの認証サブセットは通常位置します/var/log/auth.log。完全なシステムログに対して/var/log/syslogまたはを試すことができます/var/log/messages

ログ行は次のようにする必要があります。

9月10日 19:17:00 server.example.com sshd[1337]: 127.0.0.1 ポート 59934 ssh2 で ansible の公開鍵を受け入れる: RSA 5a:5d:18:5d:21:b4:e3:f3:8a :ec: c3:d6:93:99:87:ae

次のツールを使用してこのログを解析できる必要があります。ログの保存実際の統計を構築してください。

関連情報