Por que meus logs sshd mostram muitas tentativas em portas inválidas?

Navegue suas respostas
9

Meu daemon ssh está configurado para escutar na porta 2221. Eu também desabilitei o login root do ssh.

Não entendo porque, em auth.log , vejo tentativas de fazer logon em outras portas (por exemplo, com 4627 aqui). 

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

O SSHD deve levar essas tentativas em consideração. Por que os logs dizem que o usuário / senha não está correspondendo enquanto não deve receber o pedido (porta errada)? Estou faltando alguma coisa?

    
por iwalktheline 18.05.2014 / 19:57

2 respostas

11

Os registros informam:

Alguém com o IP 218.10.19.134 e da porta 4627 tentava várias vezes efetuar login como usuário root com uma senha. Mas:

  • o usuário root é invalid , os logs estão apenas informando as tentativas de login
  • o método de login tentado foi password authentication (não chave pública ou qualquer outra coisa)
  • a porta de origem era 4627 , a porta de destino era 2221 (não gravada nos logs, como sshd está apenas ouvindo 2221 , quaisquer outras tentativas em outras portas não são percebidas pelo sshd)
  • após algumas tentativas, o sshd bloqueou o login por disconnecting da conexão tcp

Você encontrará todas as palavras destacadas da minha resposta em seus registros, exceto a 2221 .

    
por 18.05.2014 / 21:01
5

O número da porta fornecido no log é a porta no lado do cliente, não na sua.

    
por 18.05.2014 / 20:03

Tags

Como descubro o que está congelando minha máquina? O que eno1 e lo significam