SSH服务器日志分析:深入理解SSH认证过程

最新推荐文章于 2025-03-27 17:35:36 发布
最新推荐文章于 2025-03-27 17:35:36 发布
阅读量705 收藏
点赞数
分类专栏: linux 系统运维 文章标签: ssh linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14829643/article/details/133053007
版权
本文详细解读了一段SSH服务器的debug日志,跟踪了从连接建立、版本确认、密钥交换到公钥认证的过程,强调了PAM和SELinux在安全中的作用,以及更新SSH版本和限制root登录的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

引言

SSH(Secure Shell)是一种安全协议,用于远程计算机系统的登录和数据传输。解决SSH相关的问题通常涉及日志分析,以便了解协议的内部工作机制。本文将对一份SSH服务器端的debug日志进行详细解析,目的是提供对SSH认证过程更深入的了解。

Sep 18 19:22:18 pam-dev21 sshd[8923]: debug1: Forked child 9223.
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: Set /proc/self/oom_score_adj to 0
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: inetd sockets after dupping: 3, 3
Sep 18 19:22:18 pam-dev21 sshd[9223]: Connection from 10.*.*.100 port 42510 on 10.*.*.21 port 22
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: Client protocol version 2.0; client software version OpenSSH_7.4
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: match: OpenSSH_7.4 pat OpenSSH* compat 0x04000000
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: Local version string SSH-2.0-OpenSSH_7.4
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: Enabling compatibility mode for protocol 2.0
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SELinux support enabled [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: permanently_set_uid: 74/74 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: list_hostkey_types: ssh-rsa,rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SSH2_MSG_KEXINIT sent [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SSH2_MSG_KEXINIT received [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: kex: algorithm: diffie-hellman-group-exchange-sha256 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: kex: host key algorithm: ecdsa-sha2-nistp256 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: kex: diffie-hellman-group-exchange-sha256 need=64 dh_need=64 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: kex: diffie-hellman-group-exchange-sha256 need=64 dh_need=64 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: expecting SSH2_MSG_KEX_DH_GEX_REQUEST [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: rekey after 134217728 blocks [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SSH2_MSG_NEWKEYS sent [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: expecting SSH2_MSG_NEWKEYS [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SSH2_MSG_NEWKEYS received [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: rekey after 134217728 blocks [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: KEX done [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: userauth-request for user root service ssh-connection method none [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: attempt 0 failures 0 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: PAM: initializing for "root"
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: PAM: setting PAM_RHOST to "pam-server01.com"
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: PAM: setting PAM_TTY to "ssh"
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: userauth-request for user root service ssh-connection method publickey [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: attempt 1 failures 0 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: userauth_pubkey: test whether pkalg/pkblob are acceptable for RSA SHA256:z2sV4X/ioEmUAMluJM2QB0JMSzwqIA26wpHBZ3O0Yuk [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: temporarily_use_uid: 0/0 (e=0/0)
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: trying public key file /root/.ssh/authorized_keys
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: fd 4 clearing O_NONBLOCK
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: matching key found: file /root/.ssh/authorized_keys, line 2 RSA SHA256:z2sV4X/ioEmUAMluJM2QB0JMSzwqIA26wpHBZ3O0Yuk
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: restore_uid: 0/0
Sep 18 19:22:18 pam-dev21 sshd[9223]: Postponed publickey for root from 10.*.*.100 port 42510 ssh2 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: userauth-request for user root service ssh-connection method publickey [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: attempt 2 failures 0 [preauth]
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: temporarily_use_uid: 0/0 (e=0/0)
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: trying public key file /root/.ssh/authorized_keys
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: fd 4 clearing O_NONBLOCK
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: matching key found: file /root/.ssh/authorized_keys, line 2 RSA SHA256:z2sV4X/ioEmUAMluJM2QB0JMSzwqIA26wpHBZ3O0Yuk
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: restore_uid: 0/0
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: do_pam_account: called
Sep 18 19:22:18 pam-dev21 sshd[9223]: Accepted publickey for root from 10.*.*.100 port 42510 ssh2: RSA SHA256:z2sV4X/ioEmUAMluJM2QB0JMSzwqIA26wpHBZ3O0Yuk
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: monitor_child_preauth: root has been authenticated by privileged process
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: monitor_read_log: child log fd closed
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: temporarily_use_uid: 0/0 (e=0/0)
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: ssh_gssapi_storecreds: Not a GSSAPI mechanism
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: restore_uid: 0/0
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: SELinux support enabled
Sep 18 19:22:18 pam-dev21 sshd[9223]: debug1: PAM: establishing credentials

日志概览

日志来源于名为pam-dev21的服务器,该服务器使用了OpenSSH 7.4版本。客户端连接来自IP地址10.76.77.100,端口42510

关键步骤解析

进程和资源准备

  • Forked child 9223: SSHD(SSH Daemon)进程fork了一个子进程(PID为9223)来处理新的SSH连接。

连接和版本匹配

  • Connection from 10.*.*.100: 记录了客户端的IP地址和端口。
  • Client protocol version 2.0: 客户端使用SSH协议版本2.0。
  • Local version string SSH-2.0-OpenSSH_7.4: 服务器端的SSH版本信息。

密钥交换(Key Exchange)

  • SSH2_MSG_KEXINIT sent/received: 密钥交换初始化信息已发送和接收。
  • kex: algorithm: diffie-hellman-group-exchange-sha256: 使用Diffie-Hellman算法和SHA-256进行密钥交换。
  • kex: host key algorithm: ecdsa-sha2-nistp256: 主机密钥使用ECDSA和SHA-256。

认证准备和方法

  • userauth-request for user root service ssh-connection method none: 开始用户(root)的无密码认证尝试。
  • PAM: initializing for "root": 使用PAM(Pluggable Authentication Module)进行认证。

公钥认证

  • userauth-request for user root service ssh-connection method publickey: 尝试使用公钥进行认证。
  • matching key found: file /root/.ssh/authorized_keys: 在授权密钥文件中找到了匹配的公钥。

认证结果

  • Accepted publickey for root from 10.*.*.100: 公钥认证成功,root用户被允许登录。

关键点总结

  1. 密钥交换:使用Diffie-Hellman算法,加强了连接的安全性。
  2. 认证方法:首先尝试了无密码登录,随后成功使用了公钥认证。
  3. PAM与SELinux:这两个安全机制都被启用,增加了系统的安全性。

建议和最佳实践

  1. 更新SSH版本:确保使用最新的SSH版本以获取最佳的安全性。
  2. 限制root登录:考虑禁止或限制root用户通过SSH登录。

结论

SSH服务器日志提供了丰富的信息,有助于我们了解SSH连接和认证的内部细节。了解这些基础知识不仅可以帮助我们更有效地解决问题,还能增强我们对SSH安全性的理解。

如果你有其他问题或需要更多信息,请随时与我联系。我们将很高兴能为你提供更多的帮助和信息。

SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 991
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招
m0_60144796的博客
05-09 333
【代码】2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招。
分析SSH登录日志
编码行者的博客
03-06 1875
SSH(Secure Shell)是远程连接服务器的常用工具,通过查看系统的认证日志,我们可以了解到系统上的SSH登录活动。总结起来,这个命令帮助系统管理员追踪SSH登录活动,尤其是关注失败的认证尝试。通过分析登录频率,管理员可以及时发现异常登录行为,加强系统的安全性。通过运行这个命令,我们可以得到一个按照SSH登录次数排序的IP地址列表。:按照出现次数进行逆序排序,以便最高频次的IP地址在前面显示。:统计每个唯一的IP地址出现的次数,并在前面显示出现次数。:对提取出的IP地址进行排序。
查找ssh日志
最新发布
aws
03-27 358
例如:有某人使用了一个不存在的用户lab来ssh登录实例,但登录失败了,现在我突然想查找失败的ssh,可以使用以下命令;可以显示不同的日志信息,包括系统、应用程序和服务的日志。表示过滤日志显示来自指定单元(unit)的日志。-g invalid:可以用来查找失败的登录,无效的用户等。,即 SSH 守护进程)。所以这个命令会列出所有与。:这是一个用于查询和查看。
查看linux ssh登陆日志记录
u010674101的专栏
07-07 1万+
要查看Linux用户是使用密钥登录还是密码登录,可以通过检查系统日志文件来获取相关信息。在CentOS 7系统中,系统日志通常存储在/var/log目录下,主要包括secure日志文件。通过查看secure日志文件,您可以了解到用户是否使用密钥登录或密码登录。请注意,如果日志文件被定期清理或轮转,部分日志可能会被删除或移动到其他位置。
解析SSH登录日志的奥秘:深入了解日志的形成过程
Lion_Long的博客
12-22 3434
SSH登录日志是维护系统安全、进行故障排除、进行安全审计和监控的重要依据。通过对日志的分析和解读,管理员可以及时发现潜在的安全威胁,防范潜在的入侵,同时也能优化系统性能,保障系统的正常运行。
最全SSH服务器日志分析深入理解SSH认证过程_sshd debug日志,2024年最新附项目源码
05-12 560
【代码】最全SSH服务器日志分析深入理解SSH认证过程_sshd debug日志,2024年最新附项目源码。
SSH服务器日志分析深入理解SSH认证过程_sshd debug日志
2401_83739434的博客
04-12 875
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
2024年SSH服务器日志分析深入理解SSH认证过程_sshd debug日志(3),带你一步一步深入Handler源码
m0_60226911的博客
05-09 464
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
python操作ssh实现服务器日志下载的方法
01-20
本文实例讲述了python操作ssh实现服务器日志下载的方法。分享给大家供大家参考。具体实现方法如下: #coding:utf-8 ssh操作例子 实现了服务器日志下载 2012-08-24 yywolf import paramiko import time ...
4,SSH 日志
sagima_sdu的博客
07-16 628
SSH服务器端可以生成日志,记录登录当前服务器的情况。SSH 日志是写在系统日志当中的,查看的时候需要从系统日志里面找到跟 SSH 相关的记录。
SSH的操作日志
07-31
NULL 博文链接:https://gojava1.iteye.com/blog/1019859
Linux--ssh基本指令与日志查看
Artisan_w
08-17 7386
1、强制登录-t 表示 Force pseudo-tty allocation,2、ssh连接到其他端口SSH 默认连接到目标主机的 22 端口上,可以使用-p选项指定端口号3、使用ssh在远程主机执行一条命令并显示到本地, 然后继续本地工作直接连接并在后面加上要执行的命令就可以了4、在远程主机运行一个图形界面的程序使用ssh的-X选项,然后主机就会开启 X11 转发功能5、如何配置 SSH
构建SSH框架日志系统
12-12 5822
完善的Web应用需要有完善的日志系统的支持,日志系统在项目的跟踪调试过程中发挥着重要作用。Struts,Spring和Hibernate均提供了自己的日志框架,有效地配置日志系统在项目开发过程中占据着一定的比重。本文简要介绍SSH框架的日志系统和相关配置,以方便日常项目的开发。Struts 2的日志系统Struts使用commons logging来封装其日志系统,JCL(
Centos7入侵分析:分析SSH登录日志
热门推荐
u011442726的博客
09-06 1万+
检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/ma...
SSHLogAnalyzer -SSH日志一把梭|SSH日志分析工具
jemus17的博客
02-04 343
SSHLogAnalyzer是一款专为SSH日志设计的分析工具,旨在帮助用户快速识别和解决SSH连接中的问题。无论是Windows还是Linux系统,SSHLogAnalyzer都能提供便捷、高效的日志分析体验。
linux docker位置查找,linux – 如何在Docker中获取依赖子图像列表?(1)
2301_77118221的博客
04-26 560
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。您应该能够查找父ID以f50f9524513f开头的图像,然后查找这些图像的子图像等.但是.Parent isn’t what you think.,所以在大多数情况下,您需要指定docker图像 – 以上所有才能使其工作,那么你也将获得所有中间层的图像ID.需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
SSH登录日志分析脚本(Python)
人生如旅
04-22 3811
好久没有更新博客了,写了很早的一个脚本存下档,一个用于分析用户登录日志 /etc/auth.log的脚本,可以分析 成功、失败次数,以及来自的IP地址和登录失败的用户名,可以用于监控是否有暴力攻击,多了就可以用于收集字典,用来避免密码过于简单的问题 #/usr/bin/env python3.4 #Anyalize the /etc/auth.log files to get #
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维开发王义杰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值