Por mais enlouquecedor que seja, não consigo encontrar o formato de linha de log do servidor SSH em nenhum lugar ...
Especificamente, meu problema é que eu sei que estou sendo atacado, meu log está cheio de linhas como esta:
Jun 26 08:55:51 singularity sshd[3233]: Connection closed by invalid user console 103.244.82.231 port 43554 [preauth]
mas não consigo descobrir o que significa o campo port . Eu tenho um firewall que nega tudo, mas um punhado de portas, o que significa que isso não pode ser a porta local, mas, em seguida, cuja porta se refere?
É a porta remota .
Cada soquete TCP é identificado por um par de endereços e um par de portas. A porta remota é usada pelos servidores (e pelos gateways NAT) para distinguir várias conexões pelo mesmo cliente. Para que os logs sejam úteis, eles precisam mostrar todas as informações pertencentes ao final 'remoto', não apenas parte dele.