Estaba revisando /var/log/auth.log y noté que por alguna razón, no todas las veces, pero a veces cuando me conectaba a través de SSH veía entradas como las siguientes: donde había varias sesiones abiertas ( exactamente al mismo tiempo) para un inicio de sesión SSH:
Aug 19 20:48:44 <redacted> sshd[1409]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:48:44 <redacted> systemd-logind[403]: New session 16 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1452]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 17 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1453]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 18 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1456]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 19 of user <redacted>.
Aug 19 20:49:11 <redacted> sshd[1454]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> sshd[1457]: pam_unix(sshd:session): session opened for user <redacted> by (uid=0)
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 21 of user <redacted>.
Aug 19 20:49:11 <redacted> systemd-logind[403]: New session 20 of user <redacted>.
Y luego se cerraron varias sesiones cuando se desconectó la misma (única) conexión SSH:
Aug 19 20:52:56 <redacted> sshd[1764]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 20:52:56 <redacted> systemd-logind[403]: Removed session 23.
Aug 19 21:04:11 <redacted> sshd[1409]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:11 <redacted> systemd-logind[403]: Removed session 16.
Aug 19 21:04:27 <redacted> sshd[1454]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 20.
Aug 19 21:04:27 <redacted> sshd[1453]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 18.
Aug 19 21:04:27 <redacted> sshd[1452]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 17.
Aug 19 21:04:27 <redacted> sshd[1457]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 21.
Aug 19 21:04:27 <redacted> sshd[1456]: pam_unix(sshd:session): session closed for user <redacted>
Aug 19 21:04:27 <redacted> systemd-logind[403]: Removed session 19.
Cuando corro:
loginctl list-sessions
Ya veo:
SESSION UID USER SEAT TTY
317 1000 <redacted>
Solo un ID de sesión, que sería una relación 1-1 más lógica entre las sesiones y los inicios de sesión, pero como se demostró anteriormente; definitivamente ha habido ocasiones en las que ese no fue el caso.
Solo me pregunto si esto es algo de qué preocuparse por la seguridad, y si alguien podría ofrecer una explicación que tenga sentido y por qué tantas sesiones se abrirían desde un inicio de sesión de SSH en algunas ocasiones, pero otras no. ?