태그 보관물: logs

logs

왜 sshd 로그에 유효하지 않은 포트에 대한 많은 시도가 표시됩니까? for invalid user root from 218.10.19.134 port

내 ssh 데몬은 포트 2221에서 수신 대기하도록 설정되어 있습니다. 또한 ssh에서 루트 로그인을 비활성화했습니다.

auth.log다른 포트에 로그온하려는 시도가 보이는지 이해하지 못합니다 (4627의 예).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD는 이러한 시도를 고려해야합니다. 로그에 사용자 / 암호가 일치하지 않지만 요청을 받지 않아야한다고 말하는 이유는 무엇입니까 (잘못된 포트)? 뭔가 빠졌습니까?



답변

로그는 다음을 알려줍니다.

IP 218.10.19.134와 포트를 가진 누군가가 4627암호를 사용하여 사용자 루트로 로그인하려고 여러 번 시도했습니다. 그러나:

  • invalid어쨌든 사용자 루트는 로그인 시도를 알려주는 로그입니다.
  • 시도한 로그인 방법은 password인증 이었습니다 (공개 키 또는 다른 것은 아님).
  • 소스 포트는 4627이고 대상 포트는 2221(sshd가 듣고 만 있기 때문에 로그에 기록되지 않음 2221, 다른 포트의 다른 시도는 sshd에 의해 감지되지 않음)
  • 일부 시도 후 sshd disconnecting는 tcp 연결에 의한 로그인을 차단했습니다

를 제외한 내 답변에서 강조 표시된 모든 단어를 로그에서 찾을 수 2221있습니다.


답변

로그에 제공된 포트 번호는 사용자 측이 아닌 클라이언트 측의 포트입니다.


답변