Come verificare le connessioni SCP in entrata su Linux?

Voglio vedere se qualche connessione SCP sta arrivando alla mia macchina Linux. Come posso vederli?

Sì, è possibile verificare le connessioni in entrata utilizzando il comando seguente.

ps aux | grep scp

Puoi anche controllare l'IP usando il comando seguente. scp usa ssh per trasferire file.

netstat -plant | grep sshd

scp sta usando il protocollo ssh, quindi qualsiasi scp verrà anche registrato in / var / log / secure come connessione ssh.

sudo grep sshd /var/log/secure |tail 

o

journalctl /usr/sbin/sshd |tail

Tuttavia, non si distinguerà questa connessione da una sessione SSH sullo stesso account.

È possibile utilizzare tcpdump -lnXvv dst port 22. come utente root.

Di seguito è riportato un esempio di output:

15:52:01.257950 IP (tos 0x0, ttl 127, id 7254, offset 0, flags [DF], proto TCP (6), length 656)
172.17.27.130.52032 > 172.17.17.28.22: Flags [P.], cksum 0x9d77 (correct), seq 35152848:35153464, ack 16709, win 256, length 616
0x0000:  4500 0290 1c56 4000 7f06 5851 ac11 1b82  E....V@...XQ....
0x0010:  ac11 111c cb40 0016 4215 fe37 405f 5a61  .....@..B..7@_Za
0x0020:  5018 0100 9d77 0000 9a09 7a29 36ac 5c94  P....w....z)6.\.
0x0030:  dee2 8679 e3b6 aef3 9096 aa53 1ea4 87c3  ...y.......S....
0x0040:  308b b034 b53d 14af 096e 20ad c2ff 81bc  0..4.=...n......
0x0050:  3ede 8035 1ad4 5d3f 9a19 9d60 a7a3 60ad  >..5..]?...`..`.

Questo dimostra che una macchina con IP 172.17.27.130 sta inviando dati a 172.17.17.28.22, di cui 172.17.17.28 è il dst host ip sulla porta 22, che è per scp.