web-dev-qa-db-fra.com

Vérifier quelle clé SSH a été utilisée pour se connecter

Si stupidement dans notre équipe de développement, chaque clé SSH est utilisée pour accéder directement à l'utilisateur root.

En vérifiant l'auth.log, je peux trouver ceci

Dec 18 09:45:04 webserver sshd[12377]: Accepted publickey for root from xx.xx.xx.xx port xx ssh2
Dec 18 09:45:04 webserver sshd[12377]: pam_unix(sshd:session): session opened for user root by (uid=0)

Existe-t-il un moyen de voir quel publickey a été utilisé? Peut-être changer quelque chose pour les niveaux de log? Ou dois-je regarder ailleurs?

3
Shaeldon

Tout d'abord, cela est possible.

Changez le niveau de votre journal ssh en VERBOSE et redémarrez ssh. Habituellement, le fichier se trouve:

nano /etc/ssh/sshd_config

Recherchez l'option LogLevel et remplacez-la par VERBOSE.

LogLevel VERBOSE

Redémarrer le service SSH

Sudo service ssh restart; Sudo service sshd restart;

Reconnectez-vous à ssh et vérifiez le fichier journal.

nano /var/log/auth.log

Ensuite, vous trouverez quelque chose comme ceci:

Dec 23 22:43:42 localhost sshd[29779]: Found matching RSA key: d8:d5:f3:5a:7e:27:42:91:e6:a5:e6:9e:f9:fd:d3:ce

Dec 23 22:43:42 localhost sshd[29779]: Accepted publickey for caleb from 127.0.0.1 port 59630 ssh2

Enfin, détendez-vous et vous êtes les bienvenus :)

10