接続が確立された後、sshdデーモンによってログメッセージが記録されるため、/var/log/auth.log以降にログが記録されず、sshdデーモンによってホスト文字列が検証されたことがわかります。ホスト認証が発生した後、sshdログインを試みるメッセージがあります。
そうですか?
ログメッセージの例:
Sep 8 06:28:55 boxhost sshd[29013]: Invalid user teamspeak3 from 134.209.108.13 port 57936
Sep 8 06:29:51 boxhost sshd[29057]: Failed password for root from 112.85.42.188 port 62425 ssh2
Sep 8 06:29:52 boxhost sshd[29059]: Failed password for invalid user password123 from 103.101.49.6 port 56756 ssh2
上記のログ行にはipv4アドレスがありますが、ipv6またはhost.comの形式のホスト文字列にすることができます。このメッセージがこのログファイルに表示される前に接続が確立されたため、接続が完了したと言いたいと思います。 sshd 確認ステップコマンドは接続を確立します。
答え1
Sep 8 06:28:55 boxhost sshd[29013]: Invalid user teamspeak3 from 134.209.108.13 port 57936
IPアドレス134.209.108.13は、TCP接続でsshデーモンが受信したIPアドレスです。 sshデーモンは、そのIPアドレスを使用して/から正常なTCP接続を確立できること以外の方法では、これを「確認」しません。つまり、SYN-ACK-ACKステップはTCP / IPレベルで完了し、SSHの十分なレベルで完了します。プロトコルが渡されました。 IP 接続はメッセージを交換してパスワードをネゴシエートし、「teamspeak3」をログインに送信します。
IP接続がある場合、システムはリバースDNSルックアップを実行し、そのIPアドレスをホスト名に変換して記録できますが、sshdはホスト名が返されるかどうかなど、より厳密な解決を行わないようです。レコード逆引き参照が存在し、一致します。