Ich möchte sehen, ob SCP-Verbindungen zu meinem Linux-Rechner eingehen. Wie kann ich diese sehen?
Antwort1
Ja, Sie können die eingehenden Verbindungen mit dem folgenden Befehl überprüfen.
ps aux | grep scp
Sie können die IP auch mit dem folgenden Befehl überprüfen. scp verwendet SSH zum Übertragen von Dateien.
netstat -plant | grep sshd
Antwort2
scp verwendet das SSH-Protokoll, daher wird jeder scp auch in /var/log/secure als SSH-Verbindung protokolliert.
sudo grep sshd /var/log/secure |tail
oder
journalctl /usr/sbin/sshd |tail
Allerdings können Sie diese Verbindung nicht von einer SSH-Sitzung mit demselben Konto unterscheiden.
Antwort3
Sie können tcpdump -lnXvv dst port 22. als Root-Benutzer verwenden.
Es folgt eine Beispielausgabe:
15:52:01.257950 IP (tos 0x0, ttl 127, id 7254, offset 0, flags [DF], proto TCP (6), length 656)
172.17.27.130.52032 > 172.17.17.28.22: Flags [P.], cksum 0x9d77 (correct), seq 35152848:35153464, ack 16709, win 256, length 616
0x0000: 4500 0290 1c56 4000 7f06 5851 ac11 1b82 [email protected]....
0x0010: ac11 111c cb40 0016 4215 fe37 405f 5a61 [email protected]@_Za
0x0020: 5018 0100 9d77 0000 9a09 7a29 36ac 5c94 P....w....z)6.\.
0x0030: dee2 8679 e3b6 aef3 9096 aa53 1ea4 87c3 ...y.......S....
0x0040: 308b b034 b53d 14af 096e 20ad c2ff 81bc 0..4.=...n......
0x0050: 3ede 8035 1ad4 5d3f 9a19 9d60 a7a3 60ad >..5..]?...`..`.
Dies zeigt, dass eine Maschine mit der IP 172.17.27.130 Daten an 172.17.17.28.22 sendet, wobei 172.17.17.28 die Zielhost-IP an Port 22 ist, die für SCP bestimmt ist.