Pourquoi mes journaux sshd affichent-ils de nombreux essais sur des ports non valides?

10

Mon démon ssh est configuré pour écouter sur le port 2221. J'ai également désactivé la connexion root à partir de ssh.

Je ne comprends pas pourquoi auth.logje vois des tentatives de connexion à d'autres ports (exemple avec 4627 ici).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD est censé tenir compte de ces essais. Pourquoi les journaux indiquent-ils que l'utilisateur / mot de passe ne correspond pas alors qu'il ne devrait pas recevoir la demande (mauvais port)? Suis-je en train de manquer quelque chose?

ssh  logs  authentication 
kheraud
source

Réponses:

13

Les journaux vous indiquent:

Quelqu'un avec l'IP 218.10.19.134et le port 4627essayait plusieurs fois de se connecter en tant qu'utilisateur root avec un mot de passe. Mais:

  • l'utilisateur root est de invalidtoute façon, les journaux vous informent simplement des tentatives de connexion
  • la méthode de connexion tentée était l' passwordauthentification (pas la clé publique ou autre)
  • le port source était 4627, le port de destination était 2221(non écrit dans les journaux, car sshd écoute seulement 2221, aucune autre tentative sur d'autres ports n'est remarquée par sshd)
  • après quelques tentatives, sshd a bloqué la connexion par disconnectingla connexion tcp

Vous trouverez tous les mots en surbrillance de ma réponse dans vos journaux, à l'exception du 2221.

erik
source
1
Merci pour cette réponse, je désactiverai l'authentification par mot de passe pour gérer les clés.
kheraud
5

Le numéro de port indiqué dans le journal est le port côté client, pas le vôtre.

Jenny D
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.