Si usted es el administrador del sistema Linux y es responsable de administrar los servidores, es posible que necesite saber cuántas conexiones ssh están activas en su servidor y de dónde provienen. Hay varios comandos y herramientas disponibles en Linux para encontrar las conexiones SSH activas en su servidor.
En este tutorial, mostraremos cómo encontrar conexiones SSH activas con diferentes métodos en Linux.
Requisitos
- Un servidor con sistema operativo Linux.
- Tienes acceso de root en ese servidor.
Buscar conexión SSH activa con who command
who es la utilidad de línea de comandos de Linux utilizada para mostrar una lista de usuarios que actualmente están conectados al servidor.
Abra su terminal y ejecute el comando who para encontrar las conexiones activas en su servidor:
quien
Deberías obtener el siguiente resultado:
puntos raíz/0 2020-05-01 02:37 (27.61.161.61)puntos raíz/1 2020-05-01 02:39 (45.58.38.21)
Como puede ver, hay dos conexiones SSH activas desde la IP 27.61.161.61 y 45.58.38.21.
Buscar una conexión SSH activa con el comando w
w es otra utilidad de línea de comandos que muestra la información sobre el usuario que actualmente inicia sesión en su servidor. Este comando proporciona más información que quién manda, como las sesiones activas y el proceso en ejecución en esas sesiones.
Puede ejecutar el comando w como se muestra a continuación:
w
Deberías obtener el siguiente resultado:
02:40:07 hasta 1 día, 18:35, 2 usuarios, promedio de carga:0.02, 0.02, 0.00USER TTY FROM [email protected] IDLE JCPU PCPU WHATroot pts/0 27.61.161.61 02:37 1.00s 0.04 s 0.01s ssh [email protected]root pts/1 45.58.38.21 02:39 1.00s 0.02s 0.00s w
Como puede ver, este comando también muestra los detalles del tiempo de inactividad, la IP de origen, el tiempo de inicio de sesión, el promedio de carga y los procesos.
Buscar conexión SSH activa con el comando ps
El comando ps también le brinda información sobre las sesiones SSH activas en su servidor. Le brinda información adicional como el PID de las conexiones SSH activas.
Puede ejecutar el comando ps como se muestra a continuación
ps auxwww | grep sshd:| grep -v grep
Debería ver el siguiente resultado:
raíz 609 0.0 0.1 12160 7268 ? Ss 29 de abril 0:01 sshd:/usr/sbin/sshd -D [oyente] 0 de 10-100 startupsroot 35532 0.0 0.2 13864 8796 ? Ss 02:37 0:00 sshd:[correo electrónico protegido]/0root 35669 0.0 0.2 13860 8916 ? Ss 02:38 0:00 sshd:[email protected]/1
Buscar conexión SSH activa con el comando netstat
Netstat es una herramienta de línea de comandos que se puede usar para mostrar conexiones SSH activas o establecidas desde los hosts remotos a su servidor.
Puede ejecutar el comando netstat como se muestra a continuación:
netstat-tnpa | grep 'ESTABLECIDO.*sshd'
Debería ver el siguiente resultado:
tcp 0 88 45.58.38.21:22 27.61.161.61:8363 ESTABLECIDO 35532/sshd:[email protected] tcp 0 0 45.58.38.21:22 45.58.38.21:51166 ESTABLECIDO 35669/sshd:[email protected]>Buscar conexión SSH activa con el último comando
El último comando se usa para mostrar la lista de todos los usuarios que iniciaron y cerraron sesión desde que se creó el archivo /var/log/wtmp. Con el último comando también puede encontrar la información de conexión SSH activa entre el cliente y el servidor.
Ejecute el siguiente comando para encontrar las conexiones SSH activas en su servidor.
último -a | grep -yo todavíaDebería ver el siguiente resultado:
root pts/1 viernes 1 de mayo 02:39 aún conectado 45.58.38.21root pts/0 viernes 1 de mayo 02:37 aún conectado 27.61.161.61reboot system boot miércoles 29 de abril 08:04 aún ejecutando 5.4.0- 26-genéricaBuscar conexión SSH activa con el comando ss
ss es muy similar a netstat y se usa para mostrar más información que otras herramientas. Puede usar el comando ssh con grep para enumerar la conexión SSH activa en su servidor.
Ejecute el comando ss con grep como se muestra a continuación:
ss | grep -i sshDebería ver el siguiente resultado:
TCP ESTAB 0 0 45.58.38.21:51166 45.58.38.21:ssh TCP ESTAB 0 56 45.58.38.21:ssh 27.61.161.61:8363 TCP ESTAB 0 0 45.58.38.21:ssh 45.58.516.21Como puede ver, hay dos conexiones activas desde la IP del cliente 45.58.38.21 y 27.61.161.61.
Conclusión
En la guía anterior, aprendimos cómo encontrar conexiones SSH activas con diferentes métodos. Ahora puede monitorear fácilmente quién está conectado a su servidor.