LSOF 连接建立答案

【问题标题】：LSOF connection establishedLSOF 连接建立
【发布时间】：2009-06-12 18:59:35
【问题描述】：

我想知道，如果

的输出

lsof -i 

sshd      21880     root    3r  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      21882     mike    3u  IPv4 4843515       TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED)
sshd      23853     root    3u  IPv6  960417       TCP *:ssh (LISTEN)
sshd      23853     root    4u  IPv4  960419       TCP *:ssh (LISTEN)
sshd      24043     root    3r  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)
sshd      24044     sshd    3u  IPv4 4871654       TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED)

这是否意味着有人已经登录系统并且当前正在做某事？或者意味着它只是试图登录？我不太确定。

有什么线索吗？谢谢

【问题讨论】：

标签： linux lsof

【解决方案1】：

根据this

lsof -i 只显示活动的 tcp 连接。因此它不会告诉您是否已登录或仍在尝试进行身份验证。

如果您想查看谁已登录以及从哪里可以运行“谁”命令。这将为您提供登录用户的列表以及从何处登录（例如 ssh、tty 等）

【讨论】：

不，不仅仅是 TCP 连接。它选择TCP、UDP、ICMP；来自互联网插座系列的任何东西。从手册页： -i 选择任何 Internet 地址与 i 中指定的地址匹配的文件列表。如果未指定地址，此选项将选择所有 Internet 和 x.25 (HP-UX) 网络文件的列表。

【解决方案2】：

“ESTABLISHED”表示 TCP 连接已建立，即握手已在 TCP/IP 级别执行。在 ssh 进程看到任何数据之前，这是必需的。从理论上讲，在 ESTABLISHED 模式下，连接可能会很长，而不会发送任何数据，具体取决于超时设置（在 TCP 级别和/或 sshd 配置上）。期望登录发生在它之后。

要了解更多信息，请使用 'iptraf' 监控流量，或查看 /var/log/auth.log（至少在 Debian 系统上）以查看谁成功登录。

【讨论】：