Почему мои журналы sshd показывают много попыток на неверных портах?


10

Мой демон ssh настроен на прослушивание через порт 2221. Я также отключил root-вход в систему из ssh.

Я не понимаю, почему auth.logя вижу попытки войти в другие порты (пример с 4627 здесь).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD должен принимать во внимание эти попытки. Почему в журналах говорится, что имя пользователя и пароль не совпадают, тогда как он не должен получать запрос (неправильный порт)? Я что-то упускаю?

Ответы:


13

Логи говорят вам:

Кто-то с IP-адресом 218.10.19.134и портом 4627пытался несколько раз войти в систему как пользователь root с паролем. Но:

  • Пользователь root в invalidлюбом случае, логи просто информируют вас о попытках входа
  • Методом попытки входа была passwordаутентификация (не открытый ключ или что-то еще)
  • исходный порт был 4627, порт назначения был 2221(не записывается в журналы, так как sshd только прослушивает 2221, любые другие попытки других портов не замечаются sshd)
  • после некоторых попыток sshd заблокировал вход по disconnectingTCP-соединению

Вы найдете все выделенные слова моего ответа в ваших журналах, кроме 2221.


1
Спасибо за этот ответ, я отключу аутентификацию по паролю, чтобы иметь дело с ключами.
Херауд

5

Номер порта, указанный в журнале, является портом на стороне клиента, а не на вашем.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.