私のSSHデーモンはポート2221でリッスンするように設定されています。また、SSHへのルートログインを無効にしました。
別のポートにログインしようとする理由がわからないauth.log(ここでは4627が例として使用されています)。
May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134 user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]
SSHDはこれらの試みを考慮する必要があります。実際にはできないユーザー/パスワードの不一致がログに表示されるのはなぜですか?受け取る要求(間違ったポート)?私は何を逃したことがありませんか?
答え1
ログには次の情報が表示されます。
そのIP218.10.19.134とポートを持つ誰かが4627パスワードを使用してrootとしてログインを数回試みました。しかし:
- とにかくユーザーのルートはです
invalid。ログはログイン試行を通知します。 - 試行されたログイン方法は
password認証です(公開鍵または他のものではありません)。 - 送信元ポートは
4627、宛先ポートはです(sshdはリッスンのみ、sshdは他のポートに対する異なる試行を認識しない2221ため、ログは記録されません)。2221 - 数回試みた後、sshdは
disconnectingTCP接続のログインをブロックしました。
を除いて、私の答えで強調表示されているすべての単語をログに見つけることができます2221。
答え2
ログに表示されるポート番号は、お客様のポートではなくクライアントのポートです。