Come posso falsificare la porta 22 quando ho fatto ascoltare a sshd un'altra porta?

Invece di fare in modo che i possibili hacker della porta eseguano la scansione del mio server, vorrei solo fingere che sshd stia ascoltando sulla porta 22 e registrare i tentativi. Avrà senso farlo? Se sì, quali strumenti / librerie sviluppati attivamente sono disponibili.

Puoi usare un honeypot SSHD come Kippo o Kojoney

Puoi anche semplicemente registrare tutti i tentativi di connessione alla porta 22 con iptables, anche se nulla è in ascolto su quella porta:

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 

Per rispondere alla domanda "Avrà senso farlo?" Chiedo, "Sei un ricercatore di sicurezza?" Se rispondi di sì, allora avrebbe senso eseguire un honeypot ssh.

Se stai solo eseguendo un servizio di produzione e non ti importa di scansioni fallite, esegui semplicemente il tuo sshd su una porta diversa con meccanismi di autenticazione aggiuntivi (come solo chiave pubblica o che richiede un Yubikey o un dispositivo simile) e rilascia la porta 22 traffico senza registrarlo.

Esistono worm ssh a forza bruta che scansionano attivamente Internet per sondare la tua porta ssh per tutto il giorno e se non guarderai i dati dai log del firewall o dagli honeypot, tutto ciò che stai facendo è sprecare spazio su disco.

Vuoi un honeypot.

Esempio: http://code.google.com/p/kippo/