何らかの理由でサーバーに「ユーザー」アカウントが1つしかないとしますshhd
。誰もがssh
「ユーザー」としてサーバー用の独自の秘密鍵を持っています。
それでは、その人が誰であるか(セッション中またはセッション後)確認する方法がありますか?
答え1
システムログでどのSSH公開鍵が使用されているかを確認できます。
syslogの認証サブセットは通常位置します/var/log/auth.log
。完全なシステムログに対して/var/log/syslog
またはを試すことができます/var/log/messages
。
ログ行は次のようにする必要があります。
9月10日 19:17:00 server.example.com sshd[1337]: 127.0.0.1 ポート 59934 ssh2 で ansible の公開鍵を受け入れる: RSA 5a:5d:18:5d:21:b4:e3:f3:8a :ec: c3:d6:93:99:87:ae
次のツールを使用してこのログを解析できる必要があります。ログの保存実際の統計を構築してください。