SSH(Secure Shell)作为远程管理服务器的主流协议,其登录行为监控是系统安全管理的重要环节。通过分析SSH连接来源的IP地址与端口信息,管理员可及时识别异常访问、追溯安全事件源头。本文将系统介绍Linux环境下查看SSH登录IP及端口的五种实践方法。
一、通过last命令查看登录记录
last命令直接读取/var/log/wtmp文件,展示系统登录历史:
- 执行 last | grep “ssh” 筛选SSH登录记录
- 输出信息包含用户名、终端类型、IP地址、登录时长
- 特殊地址
0.0.0.0表示本地登录,::1为IPv6本地地址
提示:添加
-i参数可强制显示IP地址而非主机名
二、检查auth日志文件
系统认证日志存储详细连接信息:
- Ubuntu/Debian:
sudo grep "ssh" /var/log/auth.log - CentOS/RHEL:
sudo grep "sshd" /var/log/secure - 关键字段示例:
Accepted password – 成功认证
Connection from – 来源IP与端口
Failed password – 认证失败记录
三、使用netstat实时监控连接
通过网络连接状态获取活跃SSH会话:
| 命令 | 功能说明 |
|---|---|
netstat -tnpa | grep :22 |
显示SSH默认端口连接 |
ss -tunp | grep sshd |
通过套接字状态检测 |
输出列说明:
- Foreign Address – 远程IP及端口号
- State – 连接状态(ESTABLISHED为活跃会话)
- PID/Program – 进程标识与程序名
四、配置SSH服务日志增强
修改/etc/ssh/sshd_config实现精细化日志:
- 设置
LogLevel VERBOSE获取详细日志 - 启用
TCPKeepAlive yes追踪连接状态 - 自定义端口时需在日志筛选时同步修改端口号
五、使用who与w命令快捷查询
快速获取当前登录用户信息:
- who -a – 显示所有登录用户及来源IP
- w -i – 展示活跃用户及其连接地址
- 结合
grep -v "0.0.0.0"过滤本地连接
通过组合运用上述方法,可构建从实时监控到历史追溯的完整SSH访问审计体系。建议定期分析登录模式,对异常IP段设置防火墙规则,并考虑使用Fail2ban等工具强化防护。
内容均以整理官方公开资料,价格可能随活动调整,请以购买页面显示为准,如涉侵权,请联系客服处理。
本文由星速云发布。发布者:星速云。禁止采集与转载行为,违者必究。出处:https://www.67wa.com/71385.html
