Vérifier quelle clé SSH a été utilisée pour se connecter
Si stupidement dans notre équipe de développement, chaque clé SSH est utilisée pour accéder directement à l'utilisateur root.
En vérifiant l'auth.log, je peux trouver ceci
Dec 18 09:45:04 webserver sshd[12377]: Accepted publickey for root from xx.xx.xx.xx port xx ssh2
Dec 18 09:45:04 webserver sshd[12377]: pam_unix(sshd:session): session opened for user root by (uid=0)
Existe-t-il un moyen de voir quel publickey a été utilisé? Peut-être changer quelque chose pour les niveaux de log? Ou dois-je regarder ailleurs?
Tout d'abord, cela est possible.
Changez le niveau de votre journal ssh en VERBOSE et redémarrez ssh. Habituellement, le fichier se trouve:
nano /etc/ssh/sshd_config
Recherchez l'option LogLevel et remplacez-la par VERBOSE.
LogLevel VERBOSE
Redémarrer le service SSH
Sudo service ssh restart; Sudo service sshd restart;
Reconnectez-vous à ssh et vérifiez le fichier journal.
nano /var/log/auth.log
Ensuite, vous trouverez quelque chose comme ceci:
Dec 23 22:43:42 localhost sshd[29779]: Found matching RSA key: d8:d5:f3:5a:7e:27:42:91:e6:a5:e6:9e:f9:fd:d3:ce
Dec 23 22:43:42 localhost sshd[29779]: Accepted publickey for caleb from 127.0.0.1 port 59630 ssh2
Enfin, détendez-vous et vous êtes les bienvenus :)