Perché i miei registri sshd mostrano molti tentativi su porte non valide?

10

Il mio demone ssh è configurato per l'ascolto sulla porta 2221. Ho anche disabilitato l'accesso root da ssh.

Non capisco perché in auth.logvedo i tentativi di accedere ad altre porte (esempio con 4627 qui).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

Si suppone che SSHD tenga conto di questi tentativi. Perché i registri indicano che utente / password non corrispondono mentre non dovrebbero ricevere la richiesta (porta errata)? Mi sto perdendo qualcosa?

ssh  logs  authentication 
kheraud
fonte

Risposte:

13

I registri ti dicono:

Qualcuno con l'IP 218.10.19.134e dalla porta ha 4627provato più volte ad accedere come utente root con una password. Ma:

  • l'utente root è invalidcomunque, i registri ti informano solo dei tentativi di accesso
  • il metodo di accesso tentato era passwordautenticazione (non chiave pubblica o altro)
  • la porta di origine era 4627, la porta di destinazione era 2221(non scritta nei log, poiché sshd sta solo ascoltando 2221, nessun altro tentativo su altre porte non viene notato da sshd)
  • dopo alcuni tentativi, sshd ha bloccato l'accesso tramite disconnectingla connessione tcp

Troverai tutte le parole evidenziate della mia risposta nei tuoi registri, ad eccezione di 2221.

erik
fonte
1
Grazie per questa risposta, disabiliterò l'autenticazione della password per gestire le chiavi.
kheraud,
5

Il numero di porta indicato nel registro è la porta sul lato client, non sulla tua.

Jenny D
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.