Por que meus logs sshd mostram muitas tentativas em portas inválidas?

10

Meu daemon ssh está configurado para escutar na porta 2221. Também desabilitei o login root no ssh.

Não entendo por auth.logque vejo tentativas de logon em outras portas (exemplo com 4627 aqui).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

O SSHD deve levar em consideração essas tentativas. Por que os logs dizem que usuário / senha não é correspondente e não deve receber a solicitação (porta incorreta)? Estou esquecendo de algo?

kheraud
fonte

Respostas:

13

Os logs informam:

Alguém com o IP 218.10.19.134e da porta 4627estava tentando várias vezes fazer login como usuário root com uma senha. Mas:

  • raiz do usuário é invalidassim mesmo, os logs estão apenas informando sobre as tentativas de login
  • a tentativa de método de login foi passwordautenticação (não chave pública ou qualquer outra coisa)
  • a porta de origem era 4627, a porta de destino era 2221(não gravada nos logs, pois o sshd está apenas ouvindo 2221, outras tentativas em outras portas não são notadas pelo sshd)
  • após algumas tentativas, o sshd bloqueou o login pela disconnectingconexão tcp

Você encontrará todas as palavras destacadas da minha resposta em seus registros, exceto as 2221.

erik
fonte
1
Obrigado por esta resposta, desabilitarei a autenticação de senha para lidar com chaves.
Kheraud
5

O número da porta fornecido no log é a porta no lado do cliente, não no seu.

Jenny D
fonte