¿Por qué mis registros sshd muestran muchos intentos en puertos no válidos?

10

Mi ssh daemon está configurado para escuchar en el puerto 2221. También he desactivado el inicio de sesión raíz desde ssh.

No entiendo por qué auth.logveo intentos de iniciar sesión en otros puertos (ejemplo con 4627 aquí).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

Se supone que SSHD tiene en cuenta estos intentos. ¿Por qué los registros dicen que el usuario / contraseña no coinciden mientras que no debería recibir la solicitud (puerto incorrecto)? ¿Me estoy perdiendo de algo?

ssh  logs  authentication 
kheraud
fuente

Respuestas:

13

Los registros te dicen:

Alguien con la IP 218.10.19.134y el puerto 4627intentaba varias veces iniciar sesión como usuario root con una contraseña. Pero:

  • la raíz del usuario es de invalidtodos modos, los registros solo le informan sobre los intentos de inicio de sesión
  • el método de inicio de sesión intentado fue la passwordautenticación (no la clave pública ni ninguna otra cosa)
  • el puerto de origen era 4627, el puerto de destino estaba 2221(no escrito en los registros, ya que sshd solo está escuchando 2221, sshd no nota ningún otro intento en otros puertos)
  • después de algunos intentos, sshd bloqueó el inicio de sesión mediante disconnectingla conexión tcp

Encontrará todas las palabras resaltadas de mi respuesta en sus registros, excepto el 2221.

erik
fuente
1
Gracias por esta respuesta, deshabilitaré la autenticación de contraseña para manejar las claves.
kheraud
5

El número de puerto dado en el registro es el puerto en el lado del cliente, no en el suyo.

Jenny D
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.