Tại sao nhật ký sshd của tôi hiển thị nhiều lần thử trên các cổng không hợp lệ?

10

Trình nền ssh của tôi được thiết lập để nghe trên cổng 2221. Tôi cũng đã tắt đăng nhập root từ ssh.

Tôi không hiểu tại sao trong auth.logtôi thấy các nỗ lực đăng nhập vào các cổng khác (ví dụ với 4627 ở đây).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD có nghĩa vụ phải tính đến những cố gắng này. Tại sao các nhật ký nói rằng người dùng / mật khẩu không khớp trong khi nó không nhận được yêu cầu (cổng sai)? Tui bỏ lỡ điều gì vậy?

ssh  logs  authentication 
kheraud
nguồn

Câu trả lời:

13

Nhật ký cho bạn biết:

Một số người có IP 218.10.19.134và từ cổng 4627đã cố gắng đăng nhập nhiều lần với tư cách là người dùng root bằng mật khẩu. Nhưng:

  • người dùng root invaliddù sao đi nữa, nhật ký chỉ là thông báo cho bạn về những lần thử đăng nhập
  • phương thức đăng nhập đã thử là passwordxác thực (không phải khóa công khai hoặc bất cứ điều gì khác)
  • cổng nguồn là 4627, cổng đích là 2221(không được ghi vào nhật ký, vì sshd chỉ lắng nghe 2221, mọi nỗ lực khác trên các cổng khác không được sshd chú ý)
  • Sau một số lần thử, sshd đã chặn đăng nhập bằng disconnectingkết nối tcp

Bạn sẽ tìm thấy tất cả các từ được tô sáng câu trả lời của tôi trong nhật ký của bạn, ngoại trừ 2221.

erik
nguồn
1
Cảm ơn câu trả lời này, tôi sẽ vô hiệu hóa xác thực mật khẩu để xử lý các khóa.
kheraud
5

Số cổng được đưa ra trong nhật ký là cổng ở phía máy khách, không phải của bạn.

Jenny D
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.