Múltiples sesiones sshd para un inicio de sesión único SSH

0

Estaba revisando /var/log/auth.log y noté que por alguna razón, no todas las veces, pero a veces cuando me conectaba a través de SSH veía entradas como las siguientes: donde había varias sesiones abiertas ( exactamente al mismo tiempo) para un inicio de sesión SSH:

Aug 19 20:48:44 <redacted> sshd[1409]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:48:44 <redacted> systemd-logind[403]: New session 16 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1452]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 17 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1453]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 18 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1456]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 19 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1454]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> sshd[1457]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 21 of user <redacted>.
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 20 of user <redacted>.

Y luego se cerraron varias sesiones cuando se desconectó la misma (única) conexión SSH:

Aug 19 20:52:56 <redacted> sshd[1764]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 20:52:56 <redacted> systemd-logind[403]: Removed session 23.
Aug 19 21:04:11 <redacted> sshd[1409]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:11 <redacted> systemd-logind[403]: Removed session 16.
Aug 19 21:04:27 <redacted> sshd[1454]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 20.
Aug 19 21:04:27 <redacted> sshd[1453]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 18.
Aug 19 21:04:27 <redacted> sshd[1452]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 17.
Aug 19 21:04:27 <redacted> sshd[1457]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 21.
Aug 19 21:04:27 <redacted> sshd[1456]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 19.

Cuando corro:

loginctl list-sessions

Ya veo:

SESSION        UID USER             SEAT             TTY             
       317       1000 <redacted>

Solo un ID de sesión, que sería una relación 1-1 más lógica entre las sesiones y los inicios de sesión, pero como se demostró anteriormente; definitivamente ha habido ocasiones en las que ese no fue el caso.

Solo me pregunto si esto es algo de qué preocuparse por la seguridad, y si alguien podría ofrecer una explicación que tenga sentido y por qué tantas sesiones se abrirían desde un inicio de sesión de SSH en algunas ocasiones, pero otras no. ?

    
pregunta uofc 25.08.2018 - 06:49
fuente

0 respuestas

Lea otras preguntas en las etiquetas