查看 bash 脚本以记录 SSH 活动

Question

我有一些可疑的 SSH 活动，显然来自我的计算机 (OSX Sierra)...因此我试图确定原因，更具体地说，是从哪里发生的。

我基本上是在寻找一些东西来跟踪 ssh 调用，以下似乎可以揭示哪个进程 PID 进行了调用。我选择每 15 秒检查一次（也许这应该更低）

lsof -r 15 -i -a -c ssh

对于这个过程，我想运行 ps -fp <PID> 以获取有关发出这些 ssh 请求的程序的信息。

我想自动执行此操作（对找到的任何 ssh 活动运行 ps -fp）并记录结果信息。

我没有编写脚本的实际经验，如果有人可以帮助我使这成为可能，任何帮助将不胜感激。

Answer 1

嗯，不确定这是否适用于 Mac，但这可能会让你开始：

while [[ 1 ]] ; do echo "## $(date) ##" ; S_PIDS=$(lsof -i -a -c ssh | awk  '/ssh/ {print $2}') ; ps -fp ${S_PIDS} ; sleep 15 ; done

或者，记录信息：

while [[ 1 ]] ; do echo "## $(date) ##" ; S_PIDS=$(lsof -i -a -c ssh | awk  '/ssh/ {print $2}') ; ps -fp ${S_PIDS} ; sleep 15 ; done | tee /tmp/ssh.log

:)
戴尔