Em vez de fazer com que os possíveis hackers da porta varrem meu servidor, eu gostaria apenas de fingir que o sshd está escutando na porta 22 e registrar as tentativas. Será que isso faz sentido fazer isso? Se sim, quais ferramentas / bibliotecas ativamente desenvolvidas estão disponíveis.
Você também pode simplesmente registrar todas as tentativas de conexão à porta 22 com o iptables, mesmo que nada esteja escutando naquela porta:
$ sudo iptables -A INPUT -p tcp --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0
Para responder à pergunta "Será que isso faz sentido fazer isso?" Eu pergunto: "Você é um pesquisador de segurança?" Se você responder sim, a execução de um honeypot ssh faria sentido.
Se você está apenas executando um serviço de produção e não se preocupa com falhas de verificação, basta executar o sshd em uma porta diferente com mecanismos adicionais de autenticação (como chave pública, ou exigindo um Yubikey ou dispositivo similar) e solte o tráfego da porta 22 sem registrá-lo.
Há brute force ssh worms examinando ativamente a Internet que investigará sua porta ssh o dia todo, e se você não for olhar os dados de logs de firewall ou honeypots, tudo o que você está fazendo é desperdiçar espaço em disco .
Você quer um honeypot.
Exemplo: link