Давайте определим, какой SSH-ключ использовался для входа в систему на основе ключей, используя отпечаток открытого ключа.
Запросим журнал systemd, чтобы проверить, кто вошел в систему.
$ sudo journalctl --unit ssh -- Logs begin at Mon 2019-09-16 20:21:13 GMT, end at Mon 2019-09-16 22:05:38 GMT. -- Sep 16 20:21:14 buster systemd[1]: Starting OpenBSD Secure Shell server... Sep 16 20:21:14 buster sshd[388]: Server listening on 0.0.0.0 port 22. Sep 16 20:21:14 buster sshd[388]: Server listening on :: port 22. Sep 16 20:21:14 buster systemd[1]: Started OpenBSD Secure Shell server. Sep 16 20:22:10 buster sshd[408]: Accepted publickey for milosz from 10.0.2.2 port 38266 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM Sep 16 20:22:10 buster sshd[408]: pam_unix(sshd:session): session opened for user milosz by (uid=0) Sep 16 20:40:13 buster sshd[447]: Accepted publickey for milosz from 10.0.2.2 port 38496 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM Sep 16 20:40:13 buster sshd[447]: pam_unix(sshd:session): session opened for user milosz by (uid=0)
Та же информация хранится в файле логов auth.log.
$ sudo cat /var/log/auth.log [...] Sep 16 20:21:14 buster sshd[388]: Server listening on 0.0.0.0 port 22. Sep 16 20:21:14 buster sshd[388]: Server listening on :: port 22. Sep 16 20:22:10 buster sshd[408]: Accepted publickey for milosz from 10.0.2.2 port 38266 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM Sep 16 20:22:10 buster sshd[408]: pam_unix(sshd:session): session opened for user milosz by (uid=0) Sep 16 20:22:10 buster systemd-logind[338]: New session 1 of user milosz. Sep 16 20:22:10 buster systemd: pam_unix(systemd-user:session): session opened for user milosz by (uid=0) [...] Sep 16 20:40:13 buster sshd[447]: Accepted publickey for milosz from 10.0.2.2 port 38496 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM Sep 16 20:40:13 buster sshd[447]: pam_unix(sshd:session): session opened for user milosz by (uid=0) Sep 16 20:40:13 buster systemd-logind[338]: New session 3 of user milosz. Sep 16 20:40:13 buster systemd: pam_unix(systemd-user:session): session opened for user milosz by (uid=0) [...]
Проверим файлы, содержащие открытые ключи, на предмет аутентификации с открытым ключом, чтобы найти ключ, используемый для входа в систему от имени конкретного пользователя.
Проверьте файлы ~/.ssh/authorized_keys и ~/.ssh/authorized_keys2 на наличие открытых ключей.
$ ssh-keygen -l -f /home/milosz/.ssh/authorized_keys 2048 SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM no comment (RSA) 2048 SHA256:zhtfNzhPXnPlXqkBVfiNq1SDB4FY4zGPOsL7zamH8w4 milosz@milosz-XPS-13-9343 (RSA)
Используйте этот метод, чтобы определить, какой ключ использовался для входа в систему на основе ключей, поскольку это может помочь вам определить человека, стоящего за ним.
Дополнительные замечания
Используйте эту команду для отображения отпечатков открытых ключей для ваших собственных ключей.
$ ssh-keygen -l -f ~/.ssh/milosz_local.pub 2048 SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM no comment (RSA)