Warum zeigen meine SSHD-Protokolle viele Versuche an ungültigen Ports an?

10

Mein ssh-Daemon ist so eingerichtet, dass er Port 2221 überwacht. Ich habe auch die Root-Anmeldung von ssh deaktiviert.

Ich verstehe nicht, warum auth.logich Versuche sehe, mich an anderen Ports anzumelden (Beispiel mit 4627 hier).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD soll diese Versuche berücksichtigen. Warum sagen die Protokolle, dass Benutzer / Passwort nicht übereinstimmen, während die Anfrage nicht empfangen werden sollte (falscher Port)? Vermisse ich etwas

ssh  logs  authentication 
kheraud
quelle

Antworten:

12

Die Protokolle sagen Ihnen:

Jemand mit der IP 218.10.19.134und vom Port hat 4627mehrmals versucht, sich als Benutzer root mit einem Passwort anzumelden. Aber:

  • Benutzer root ist invalidsowieso, die Protokolle informieren Sie nur über die Anmeldeversuche
  • Die versuchte Anmeldemethode war die passwordAuthentifizierung (kein öffentlicher Schlüssel oder etwas anderes).
  • Der Quellport war 4627, der 2221Zielport war (nicht in die Protokolle geschrieben, da sshd nur abhört 2221, alle anderen Versuche an anderen Ports werden von sshd nicht bemerkt).
  • Nach einigen Versuchen blockierte sshd die Anmeldung über disconnectingdie TCP-Verbindung

Sie finden alle hervorgehobenen Wörter meiner Antwort in Ihren Protokollen, mit Ausnahme der 2221.

erik
quelle
1
Vielen Dank für diese Antwort. Ich werde die Kennwortauthentifizierung deaktivieren, um mit Schlüsseln umgehen zu können.
Kheraud
5

Die im Protokoll angegebene Portnummer ist der Port auf der Clientseite, nicht auf Ihrer.

Jenny D.
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.