Suchen Sie die IP-Adresse des Clients in einer SSH-Sitzung

166

Ich habe ein Skript, das von einer Person ausgeführt werden soll, die sich mit SSH beim Server anmeldet .

Gibt es eine Möglichkeit, automatisch herauszufinden, von welcher IP-Adresse der Benutzer eine Verbindung herstellt?

Natürlich könnte ich den Benutzer fragen (es ist ein Tool für Programmierer, also kein Problem damit), aber es wäre cooler, wenn ich es nur herausfinden würde.

— Flybywire
quelle

5

Schlagen Sie vor, auf Serverfehler umzusteigen, aber immer noch eine gute Frage

— BozoJoe

266

Überprüfen Sie, ob es eine Umgebungsvariable mit dem Namen gibt:

$SSH_CLIENT

ODER

$SSH_CONNECTION

(oder andere Umgebungsvariablen), die festgelegt werden, wenn sich der Benutzer anmeldet. Verarbeiten Sie sie dann mithilfe des Benutzeranmeldeskripts.

IP extrahieren:

$ echo $SSH_CLIENT | awk '{ print $1}'
1.2.3.4
$ echo $SSH_CONNECTION | awk '{print $1}'
1.2.3.4

— nolim1t
quelle

@cwd Ich möchte die IP in diesem Befehl ersetzen "iptables -A INPUT -s 93.203.118.251 -p tcp --destination-port 443 -j DROP" ist das möglich?

— Wutzebaer

2

Das war REMOTEHOST für mich.

— Dramzy

5

funktioniert nur mit nicht sudoed Benutzern. Wenn Sie beispielsweise einen SSH-Benutzer haben und dann zu Root eskalieren, wird eine neue Shell erstellt und diese Variablen gehen verloren, es sei denn, Sie können durch den Baum zurückverfolgen, um die ursprüngliche SSH-PID zu finden und die Variablen aus / proc / $ PID / environ abzurufen

— Andrej

5

Dank stackoverflow.com/questions/428109/extract-substring-in-bash kann diese Antwort einfach verbessert werden${SSH_CLIENT%% *}

— Jeff

@ Andrej schauen insudo -E

— Jeff

105

Sie könnten den folgenden Befehl verwenden:

server:~# pinky

das wird dir so etwas geben:

Login      Name                 TTY    Idle   When                 Where 

root       root                 pts/0         2009-06-15 13:41     192.168.1.133

— vncprado
quelle

13

Das ist großartig :-) Nerd Humor ftw noch einmal. Laut pinky --help:A lightweight 'finger' program; print user information. The utmp file will be /var/run/utmp.

— Chris Woods

Warum zeigt mein 'Wo' in meiner Ausgabe nur den Computernamen und nicht die IP-Adresse an?

— Isaganiesteron

Wahrscheinlich haben Sie den Nameserver auf Ihrem Computer konfiguriert.

— vncprado

pinky zeigt alle angemeldeten Benutzer, nicht nur Sie selbst

— Andrej

33

Versuchen Sie Folgendes, um nur die IP-Adresse zu erhalten:

who am i|awk '{ print $5}'

— AlexP
quelle

Ich bin mir ziemlich sicher, wenn Sie whoami schreiben und den Namen des angemeldeten Benutzers erhalten. Es gibt keine fünfte Sache oder IP zu drucken, sorry. aber whoami ist ein nützlicher Befehl

— gerard

15

who am i! = whoamizumindest unter Linux. Es gibt eine fünfte Sache, und es ist der Hostname des Clients.

— kbulgrien

5

Für alle anderen, die sich fragen who am i: Die Manpage für whosagt : If ARG1 ARG2 given, -m presumed: 'am i' or 'mom likes' are usual.. Also funktioniert wirklich alles mit zwei Wörtern, auch Dinge wie who likes icecream.

— jmiserez

3

Aufbauend auf dieser Antwort habe ich sie who -m --ips|awk '{print $5}'so reduziert, dass ich nur IP und keine Reverse-DNS-Antwort hatte. Danke für die Hilfe weiter who am i!

— Yvan

1

Schlägt mit tmux fehl: who am i|awk '{ print $5}' (tmux(2445).%3)

— Alexx Roche

19

Geben Sie einfach den folgenden Befehl auf Ihrem Linux-Computer ein:

who

— Bangar
quelle

6

 who | cut -d"(" -f2 |cut -d")" -f1

— Danilo
quelle

5

who am i | awk '{print $5}' | sed 's/[()]//g' | cut -f1 -d "." | sed 's/-/./g'


export DISPLAY=`who am i | awk '{print $5}' | sed 's/[()]//g' | cut -f1 -d "." | sed 's/-/./g'`:0.0

Ich benutze dies, um meine DISPLAY-Variable für die Sitzung zu bestimmen, wenn ich mich über ssh anmelde und Remote X anzeigen muss.

— Spindrift
quelle

Nützlicher Einzeiler, um meine IP zu .htaccess-Dateien hinzuzufügen. Danke dir. Ich habe eine Modifikation für FreeBSD vorgenommen: who am i | awk '{print $6}' | sed 's/[()]//g' | sed 's/\./\\./g' Der letzte Teil entgeht den Punkten.

— Olivier - interfaSys

5

Eine vorherige Antwort verbessern. Gibt die IP-Adresse anstelle des Hostnamens an. --ips unter OS X nicht verfügbar.

who am i --ips|awk '{print $5}' #ubuntu 14

universeller, ändern Sie $ 5 in $ 6 für OS X 10.11:

WORKSTATION=`who -m|awk '{print $5}'|sed 's/[()]//g'`
WORKSTATION_IP=`dig +short $WORKSTATION`
if [[ -z "$WORKSTATION_IP" ]]; then WORKSTATION_IP="$WORKSTATION"; fi
echo $WORKSTATION_IP

— SeeBenClick
quelle

2

netstat -tapen | grep ssh | awk '{ print $4}'

— Sébastien Moreau
quelle

funktioniert nicht unter CentOS 6.9 (net-tools 1.60 netstat 1.42)(No info could be read for "-p": geteuid()=507 but you should be root.)

— Jeff

@ Jeff funktioniert sudo ss -tapen | grep ssh | awk '{ print $4}'|grep -v ':22$'?

— Alexx Roche

2

Sie können es programmgesteuert über eine SSH-Bibliothek ( https://code.google.com/p/sshxcute ) abrufen.

public static String getIpAddress() throws TaskExecFailException{
    ConnBean cb = new ConnBean(host, username, password);
    SSHExec ssh = SSHExec.getInstance(cb);
    ssh.connect();
    CustomTask sampleTask = new ExecCommand("echo \"${SSH_CLIENT%% *}\"");
    String Result = ssh.exec(sampleTask).sysout;
    ssh.disconnect();   
    return Result;
}

— Vineetv2821993
quelle

1

netstat funktioniert (oben ungefähr so) tcp 0 0 10.x.xx.xx: ssh someipaddress.or.domainame: 9379 ESTABLISHED

— aric
quelle

Vielen Dank für diese Antwort. Am Ende habe ich 'netstat | gemacht grep ssh '.

— Ross Aiken

Aus Sicherheitsgründen ist dies schlecht, da jeder an diesen Port angeschlossen werden kann, nicht nur Sie.

— CrazyCasta

1

netstat -tapen | grep ssh | awk '{ print $10}'

Ausgabe:

zwei # in meinem Experiment

netstat -tapen | grep ssh | awk '{ print $4}'

gibt die IP-Adresse an.

Ausgabe:

127.0.0.1:22 # in my experiment

Aber die Ergebnisse sind gemischt mit anderen Benutzern und Sachen. Es braucht mehr Arbeit.

— Gerard
quelle

Mein Netstat gibt nur eine abgeschnittene Adresse für IPv6 an und "127.0.0.1:22" ist eher der Server als der Client (was in der Frage angegeben wurde)

— Alexx Roche

1

Ein älterer Thread mit vielen Antworten, aber keiner ist genau das, wonach ich gesucht habe, also trage ich meinen bei:

sshpid=$$
sshloop=0
while [ "$sshloop" = "0" ]; do
        if [ "$(strings /proc/${sshpid}/environ | grep ^SSH_CLIENT)" ];
then
                read sshClientIP sshClientSport sshClientDport <<< $(strings /proc/${sshpid}/environ | grep ^SSH_CLIENT | cut -d= -f2)
                sshloop=1
        else
                sshpid=$(cat /proc/${sshpid}/status | grep PPid | awk '{print $2}')
                [ "$sshpid" = "0" ] && sshClientIP="localhost" && sshloop=1
        fi
done

Diese Methode ist kompatibel mit direkten SSH-, Sudoed-Benutzern und Bildschirmsitzungen. Es wird den Prozessbaum durchlaufen, bis es eine PID mit der Variablen SSH_CLIENT findet, und dann seine IP als $ sshClientIP aufzeichnen. Wenn es zu weit oben im Baum ist, zeichnet es die IP als 'localhost' auf und verlässt die Schleife.

— Andrej
quelle

0

Normalerweise gibt es einen Protokolleintrag in / var / log / messages (oder ähnlich, abhängig von Ihrem Betriebssystem), den Sie mit dem Benutzernamen abrufen können.

— Daniel Schneller
quelle

0

Linux: wer bin ich | awk '{print $ 5}' | sed 's / [()] // g'

AIX: wer bin ich | awk '{print $ 6}' | sed 's / [()] // g'

— pfrandsen
quelle

0

Suchen Sie nach SSH-Verbindungen für das Konto "myusername".

Nehmen Sie die erste Ergebniszeichenfolge.

Nehmen Sie die 5. Spalte;

Geteilt durch ":" und Rückgabe des 1. Teils (Portnummer nicht erforderlich, wir wollen nur IP):

netstat -tapen | grep "sshd: myusername" | Kopf -n1 | awk '{split ($ 5, a, ":"); print a [1]} '

Ein anderer Weg:

wer bin ich | awk '{l = Länge ($ 5) - 2; print substr ($ 5, 2, l)} '

— Nex
quelle

sudo ss -tapen | grep "sshd: $(whoami)"|head -n1|awk '{split($5, a, ":"); print a[1]}'sagt, mein SSH-Kunde ist von 2a02und Ihr "Ein anderer Weg:" sagttmux(2445).%3

— Alexx Roche

0

Angenommen, er öffnet eine interaktive Sitzung ( dh er weist ein Pseudo-Terminal zu ) und Sie haben Zugriff auf stdin. Sie können ein ioctl auf diesem Gerät aufrufen, um die Gerätenummer (/ dev / pts / 4711) abzurufen und zu versuchen, diese zu finden / var / run / utmp (wobei es auch den Benutzernamen und die IP-Adresse gibt, von der die Verbindung stammt).

— mihi
quelle

0

Ein Daumen hoch für die Antwort von @Nikhil Katre:

Der einfachste Befehl, um die letzten 10 Benutzer am Computer anzumelden, ist last|head.

Um alle Benutzer zu erhalten, verwenden Sie einfach den lastBefehl

Derjenige, der verwendet whooder pinkygetan hat, was grundsätzlich gefragt wird. Aber sie geben keine historischen Sitzungsinformationen.

Dies könnte auch interessant sein, wenn Sie jemanden kennenlernen möchten, der sich gerade angemeldet und abgemeldet hat, als Sie mit dieser Überprüfung beginnen.

wenn es sich um ein Mehrbenutzersystem handelt. Ich empfehle, das gesuchte Benutzerkonto hinzuzufügen:

last | grep $USER | head

BEARBEITEN:

In meinem Fall existieren sowohl $ SSH_CLIENT als auch $ SSH_CONNECTION nicht.

— Kangqiao Zhao
quelle

0

Der einfachste Befehl, um die letzten 10 Benutzer am Computer anzumelden, ist last|head. Verwenden Sie einfach den lastBefehl, um alle Benutzer abzurufen

— Nikhil Katre
quelle

0

Ich erhalte die folgende Ausgabe von who -m --ipsDebian 10:

root pts / 0 Dec 4 06:45 123.123.123.123

Sieht aus wie eine neue Spalte hinzugefügt, so {print $5}oder „ fünfte Kolonne nehmen “ Versuchen nicht mehr funktionieren.

Versuche dies:

who -m --ips | egrep -o '([0-9]{1,3}\.){3}[0-9]{1,3}'

Quelle:

— aexl
quelle