AIX如何查出sshd正在用的sshd_config文件

20060502156

开启ssh同时使用sshd_config这个文件：
bash-3.00# /usr/sbin/sshd -f /www/sshd_config


查看进程，却看不到进程使用sshd_config信息
bash-3.00# ps -ef | grep sshd
root 258252      1   3 08:52:44      -  0:00 /usr/sbin/sshd


用ps ewww也看不到
---------------------------------
bash-3.00# ps ewww 258252
    PID    TTY STAT  TIME COMMAND
258252      - A     0:00 /usr/sbin/sshd AUTHSTATE=compat WSM_WS_CMD="startsrc -s http4websm" TERM=ansi SHELL=/usr/bin/ksh

WSM_DOC_DIR="/usr/websm/http/com.ibm.websm.http.server_1.0.0" LOCPATH=/usr/lib/nls/loc USER=root ODMDIR=/etc/objrepos

A__z=! LOGNAME MAIL=/usr/spool/mail/root

PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/java5/jre/bin:/usr/java5/bin LOGIN=root PWD=/ LANG=en_US

TZ=Asia/Shanghai WSM_CGI_DIR= SHLVL=1 HOME=/ LC__FASTMSG=true MAILMSG=[YOU HAVE NEW MAIL] LOGNAME=root _=/usr/sbin/sshd

NLSPATH=/usr/lib/nls/msg/%L/%N:/usr/lib/nls/msg/%L/%N.cat




-ddet，好像也不行，查不出来 “/usr/sbin/sshd -f /www/sshd_config”
---------------------------------
bash-3.00# /usr/sbin/sshd -ddet
debug2: load_server_config: filename /etc/ssh/sshd_config
debug2: load_server_config: done config len = 160
debug2: parse_server_config: config /etc/ssh/sshd_config len 160
debug1: sshd version OpenSSH_4.1p1
debug1: private host key: #0 type 0 RSA1
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA

==================================================

su8610

能否通过时间来看呢，看看文件的atime 是否有变化，用ls -lu就可以看到

wenhq

lsof 没用？？？

hello_unix

应该是查不到的，为啥呢？这个配置文件只有在进程启动的时候读一下，又不是持续读写的

spender

所以说，不要弄那么多配置文件。 正确的做法是备份，然后修改，测试即可。

dooza

我RHEL 6.1用ps -ef | grep sshd就有的：

[root@node1 ssh]# /usr/sbin/sshd -f /etc/ssh/sshd_config.bak
[root@node1 ssh]# ps -ef | grep sshd
root      3596     1  0 10:55 ?        00:00:00 sshd: root@pts/1,pts/2
root      3861     1  0 11:05 ?        00:00:00 /usr/sbin/sshd -f /etc/ssh/sshd_config.bak

另外可以添加审计项：
vi /etc/audit/audit.rules ，在最后添加以下内容：
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
重启服务：
service auditd restart

然后重启sshd，你可以在/var/log/audit/audit.log里看到类似如下：
type=EXECVE msg=audit(1382757797.485:37237): argc=3 a0="/usr/sbin/sshd" a1="-f" a2="/etc/ssh/sshd_config.bak"

phanx

[root@dev560:/home/guest #]  ps -ef|grep /usr/sbin/sshd|grep -v grep |awk '{print $2}' | xargs proctree
1347834    /usr/sbin/sshd 8etc/ssh/sshd_config.txt

证明是用-f 指定了config file

如果是输出

[root@dev560:/home/guest #]  ps -ef|grep /usr/sbin/sshd|grep -v grep |awk '{print $2}' | xargs proctree
221342    /usr/sbin/srcmstr
   2113566    /usr/sbin/sshd 8

那么就是用的默认的/etc/ssh/sshd_config

phanx

回复 6# dooza


    楼主说的是AIX， linux上面的方法不一样。

20060502156

没错
回复 8# phanx


   

lingam

ps 看不到的话是用缺省的sshd_config , 至于怎么看缺省（所有的ＵＮＩＸ都一样）

# ps -ef | grep sshd
root      4142     1  0 Sep12 ?        00:00:02 /usr/sbin/sshd
# strings /usr/sbin/sshd | grep sshd_con
/etc/ssh/sshd_config　　　　　　　　＜－－缺省的