connexion établie LSOF

Question

Je me demandais, si la sortie de

lsof -i 

sshd  21880  root 3r IPv4 4843515  TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED) 
sshd  21882  mike 3u IPv4 4843515  TCP somehost.lu.isp.com:ssh->d-XX-XXX.ITS.SOMEWHERE.COM:45037 (ESTABLISHED) 
sshd  23853  root 3u IPv6 960417  TCP *:ssh (LISTEN) 
sshd  23853  root 4u IPv4 960419  TCP *:ssh (LISTEN) 
sshd  24043  root 3r IPv4 4871654  TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED) 
sshd  24044  sshd 3u IPv4 4871654  TCP somehost.lu.isp.com:ssh->XXX.XX.XXX.XXX:42104 (ESTABLISHED) 

que cela implique que quelqu'un a ouvert une session sur le système et est en train de faire quelque chose? ou veut-il juste essayer de se connecter? Je ne suis pas tout à fait sûr à ce sujet.

Des indices? Merci

Answer 1

Selon this

lsof -i ne vous montre les connexions actives tcp. Cela ne vous dit donc pas si vous êtes connecté ou si vous tentez toujours de vous authentifier.

si vous souhaitez vérifier qui a ouvert une session et où vous pouvez exécuter la commande "who". qui vous donnera une liste des utilisateurs connectés et où connectés à partir de (par exemple ssh, TTY, etc.)

Answer 2

Le « ÉTABLI » signifie que la connexion TCP est établie, à savoir la poignée de main a été effectuée sur TCP/Niveau IP. Ceci est nécessaire avant que le processus ssh ne voit des données du tout. Théoriquement, la connexion pourrait être assez longue en mode ESTABLISHED sans envoyer de données en fonction des timeouts définis (au niveau TCP et/ou sshd config). Attendez-vous à ce que la connexion se produise après. Pour en savoir plus, utilisez 'iptraf' pour surveiller la quantité de trafic, ou consultez /var/log/auth.log (au moins, sur un système Debian) pour voir qui s'est connecté avec succès.