Trouver tous les pid des sessions ssh en cours :
ss -tnp|grep ':22'
ss -tp|grep ':22'|grep -Eo ',[0-9]+,'|grep -Eo '[0-9]+'
Trouver depuis quand ces process sont démarrés :
26205 329840
1419103787
Sat Dec 20 20:31:42 CET 2014
One liner :
start time
for pid in $(ss -tp|grep ':22'|grep -Eo ',[0-9]+,'|grep -Eo '[0-9]+'); do date -d@$(echo "$(date +%s) - $(ps -o etimes -p $pid --no-headers)"|bc); done
pid + start time
Si le log level de ssh est en VERBOSE, on peut chercher dans auth.log le fingerprint de la clé publique correspondant à la date à laquelle une session ssh a démarré :