我试图跟踪用户最后一次用某个密钥login到Linux服务器。 因此,用户secure在~/.ssh/authorized_keys有5个密钥,我怎样才能跟踪每个密钥的使用时间和使用什么IP访问服务器?
理想情况下,我可以看到Key 1最近一次使用是从127.0.0.1开始的,5天前是从10.0.0.5开始使用Key 2,Key 3和4从未使用过,Key 5是2周前从8.8 .8.8。
您需要将/etc/ssh/sshd_config的LogLevel增加到VERBOSE然后重新启动sshd。 这将导致sshd将所使用的密钥的指纹logging到您的sshdconfiguration为使用的任何日志文件中,例如
Jan 7 22:46:17 host.lan sshd[5998]: Connection from 192.168.254.187 port 57062 Jan 7 22:46:17 host.lan sshd[5998]: Found matching RSA key: 54:d2:06:cf:85:ec:89:96:3c:a8:73:c7:a1:30:c2:8b Jan 7 22:46:17 host.lan sshd[5998]: Found matching RSA key: 54:d2:06:cf:85:ec:89:96:3c:a8:73:c7:a1:30:c2:8b Jan 7 22:46:17 host.lan sshd[5998]: Accepted publickey for user from 192.168.254.187 port 57062 ssh2
它应该是相当简单的匹配的关键指纹和密钥,做你想做的。