Mengapa log sshd saya menunjukkan banyak percobaan pada port yang tidak valid?

10

Daemon ssh saya diatur untuk mendengarkan pada port 2221. Saya juga telah menonaktifkan login root dari ssh.

Saya tidak mengerti mengapa auth.logsaya melihat upaya untuk login pada port lain (contoh dengan 4627 di sini).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD seharusnya mempertimbangkan percobaan ini. Mengapa log mengatakan pengguna / kata sandi tidak cocok padahal seharusnya tidak menerima permintaan (port salah)? Apakah saya melewatkan sesuatu?

kheraud
sumber

Jawaban:

13

Log memberitahu Anda:

Seseorang dengan IP 218.10.19.134dan dari port 4627mencoba beberapa kali untuk login sebagai root pengguna dengan kata sandi. Tapi:

  • root pengguna invalidtetap, log hanya memberitahu Anda tentang upaya login
  • metode login yang dicoba adalah passwordotentikasi (bukan kunci publik atau apa pun)
  • port sumber adalah 4627, port tujuan adalah 2221(tidak ditulis ke dalam log, karena sshd hanya mendengarkan 2221, setiap upaya lain pada port lain tidak diperhatikan oleh sshd)
  • setelah beberapa upaya, sshd memblokir login oleh disconnectingkoneksi tcp

Anda akan menemukan semua kata yang disorot dari jawaban saya di log Anda, kecuali untuk 2221.

erik
sumber
1
Terima kasih atas jawaban ini, saya akan menonaktifkan otentikasi kata sandi untuk menangani kunci.
kheraud
5

Nomor port yang diberikan dalam log adalah port di sisi klien, bukan pada Anda.

Jenny D
sumber