내 ssh 데몬은 포트 2221에서 수신 대기하도록 설정되어 있습니다. 또한 ssh에서 루트 로그인을 비활성화했습니다.
왜 auth.log
다른 포트에 로그온하려는 시도가 보이는지 이해하지 못합니다 (4627의 예).
May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134 user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]
SSHD는 이러한 시도를 고려해야합니다. 로그에 사용자 / 암호가 일치하지 않지만 요청을 받지 않아야한다고 말하는 이유는 무엇입니까 (잘못된 포트)? 뭔가 빠졌습니까?
답변
로그는 다음을 알려줍니다.
IP 218.10.19.134
와 포트를 가진 누군가가 4627
암호를 사용하여 사용자 루트로 로그인하려고 여러 번 시도했습니다. 그러나:
invalid
어쨌든 사용자 루트는 로그인 시도를 알려주는 로그입니다.- 시도한 로그인 방법은
password
인증 이었습니다 (공개 키 또는 다른 것은 아님). - 소스 포트는
4627
이고 대상 포트는2221
(sshd가 듣고 만 있기 때문에 로그에 기록되지 않음2221
, 다른 포트의 다른 시도는 sshd에 의해 감지되지 않음) - 일부 시도 후 sshd
disconnecting
는 tcp 연결에 의한 로그인을 차단했습니다
를 제외한 내 답변에서 강조 표시된 모든 단어를 로그에서 찾을 수 2221
있습니다.
답변
로그에 제공된 포트 번호는 사용자 측이 아닌 클라이언트 측의 포트입니다.