Здравствуйте.
имеется запущенная служба ssh
пользователь user1, доступ к ssh закрыт. Пользователем user1 пользуется нанятый разработчик.
В /etc/passwd
user1:x:1061:1061::/home/site.ru:/bin/false
Сегодня обнаружил, что в процессе висит как бы авторизованный пользователь user1.
в "ps uaxf" видно, что висит процесс, от пользователя user1
root 17351 0.0 0.0 92464 4032 ? Ss 10:18 0:00 \_ sshd: user1 [priv]
user1 17369 0.0 0.0 92464 2008 ? S 10:18 0:00 | \_ sshd: user1@notty
по логу auth.log как я понял была открыта сессия и позже закрыта
Feb 25 10:18:48 srv sshd[17351]: Accepted password for user1 from 1.2.3.4 port 53537 ssh2
Feb 25 10:18:48 srv sshd[17351]: pam_unix(sshd:session): session opened for user user1 by (uid=0)
Feb 25 15:54:03 srv sshd[17369]: Received disconnect from 1.2.3.4 port 53537:11: FlowSshClientSession: disconnected on user's request
Feb 25 15:54:03 srv sshd[17369]: Disconnected from 1.2.3.4 port 53537
Решил проверить, и подключиться, естественно не пускает и просит опять пароль. Если оставить tcp-сессию не закрытой (не закрыть программу, где я пытаюсь подключиться по sftp/ssh), то в процессах это выглядит по другому:
Когда я подключаюсь, то
root 19466 0.0 0.0 92352 3880 ? Ss 12:46 0:00 \_ sshd: user1 [priv]
sshd 19467 0.0 0.0 65456 1392 ? S 12:46 0:00 \_ sshd: user1 [net]
Не могу понять откуда взялся процесс от пользователя user1.
Подскажите пожалуста, что это значит? Это штатная работа ssh или что то не то?
