linuxssh命令记录

linuxssh命令记录详细介绍

在 Linux 中，ssh命令用于安全连接远程主机，而 “记录” 相关内容通常涉及命令用法、连接记录以及服务器端登录日志。以下是详细说明：

一、
ssh命令的基本用法

1. 连接远程主机

bash

 选项 用户名@远程主机IP或域名


 user@192.168.1.100


 /path/to/private_key user@remote_host

2. 常用选项

二、本地 SSH 连接记录

1. 命令历史记录（用户操作记录）

• 当前用户执行过的ssh命令会被记录在 ~/.bash_history（或~/.zsh_history等）中，可通过以下命令查看：bash

   ~/.bash_history     
  
  

• 注意：历史记录可能包含密码（若命令中明文输入），需通过HISTCONTROL=ignorespace等配置避免记录敏感命令。

2. 已信任的主机公钥（
known_hosts）

• 首次连接远程主机时，其公钥会被自动写入 ~/.ssh/known_hosts（当前用户）或 /etc/ssh/ssh_known_hosts（全局）。
• 作用：防止中间人攻击，记录格式为主机IP/域名 公钥指纹。
• 清除指定记录：bash

  ssh-keygen  远程主机IP  
  
  

三、服务器端 SSH 登录日志（关键审计记录）

1. 日志文件位置

• Debian/Ubuntu 系：/var/log/auth.log（包含所有认证事件，如 SSH、sudo 等）
• Red Hat/CentOS 系：/var/log/secure（专门记录安全相关事件，包括 SSH 登录）
• 通用查看命令：bash

     /var/log/auth.log  
  
   /var/log/secure 
  

2. 日志关键字段

日志条目示例（以auth.log为例）：
log

  server sshd Accepted password for user from  port  ssh2

• sshd[12345]：SSH 服务进程 ID
• Accepted password：认证方式（密码或密钥）
• from 192.168.1.100：客户端 IP
• port 56788：客户端端口（随机端口）

3. 常用过滤条件

• 查看成功登录记录：bash

     /var/log/auth.log
  
  

• 查看失败登录记录：bash

     /var/log/auth.log
  
  

• 按用户过滤：bash

     /var/log/auth.log
  
  

• 按 IP 过滤：bash

     /var/log/auth.log
  
  

4. 历史登录记录（
last命令）

• last命令可查看所有用户的历史登录记录（包括 SSH 和本地登录），数据来自/var/log/wtmp：bash

  last  sshd  
  
  last user 
  

• 注意：last显示的是已结束的会话，当前在线会话可用who或w命令查看。

四、高级：会话记录与审计

1. 记录用户远程操作（非 SSH 命令本身，而是会话内容）

• 使用工具如script命令（记录终端会话），或通过 SSH 服务器配置ForceCommand强制记录：bash

  
  script /var/log/ssh_session.log
  

2. 增强日志配置（可选）

• 修改 SSH 服务配置（/etc/ssh/sshd_config），开启更详细的日志：bash

  LogLevel VERBOSE  
  
  

• 重启 SSH 服务使配置生效：bash

   systemctl restart sshd  
  
   restart 
  

五、安全注意事项

1. 定期审计日志：通过日志监控异常登录（如多次失败尝试、陌生 IP）。
2. 限制密钥检查：避免使用StrictHostKeyChecking=no（可能引入安全风险）。
3. 禁用密码登录：推荐使用密钥认证（PasswordAuthentication no），并配合AllowUsers限制登录用户。

通过以上内容，可全面掌握 Linux 中ssh命令的使用、连接记录以及服务器端登录日志的查看和分析方法。