Dlaczego moje dzienniki sshd pokazują wiele prób nieprawidłowych portów?

10

Mój demon ssh jest skonfigurowany do nasłuchiwania na porcie 2221. Wyłączyłem również logowanie roota z ssh.

Nie rozumiem, dlaczego auth.logwidzę próby zalogowania się na inne porty (przykład z 4627 tutaj).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD ma brać pod uwagę te próby. Dlaczego w dziennikach jest napisane, że użytkownik / hasło nie pasują, a nie powinien otrzymywać żądania (zły port)? Czy coś brakuje?

kheraud
źródło

Odpowiedzi:

13

Dzienniki mówią ci:

Ktoś z adresem IP 218.10.19.134iz portu 4627kilkakrotnie próbował zalogować się jako użytkownik root przy użyciu hasła. Ale:

  • root użytkownika jest invalidzresztą zresztą, dzienniki tylko informują o próbach logowania
  • próbą logowania było passworduwierzytelnienie (nie klucz publiczny ani nic innego)
  • port źródłowy był 4627, port docelowy był 2221(nie zapisany w logach, ponieważ sshd nasłuchuje 2221, wszelkie inne próby na innych portach nie są zauważane przez sshd)
  • po kilku próbach sshd zablokował logowanie przez disconnectingpołączenie tcp

W dziennikach znajdziesz wszystkie wyróżnione słowa mojej odpowiedzi, z wyjątkiem 2221.

erik
źródło
1
Dzięki za tę odpowiedź, wyłączę uwierzytelnianie hasła w celu obsługi kluczy.
kheraud
5

Numer portu podany w dzienniku to port po stronie klienta, a nie po twojej stronie.

Jenny D.
źródło