我试图理解我在SSH日志文件中看到的东西,以便我可以最好地防御坏人。 特别有兴趣了解日志中“port”后面列出的数字。 这是我的日志文件中的一个示例
Mar 30 00:05:16 server sshd[11067]: Failed password for root from 124.228.136.143 port 54381 ssh2 Mar 30 00:05:21 server sshd[11067]: Failed password for root from 124.228.136.143 port 54381 ssh2 Mar 30 01:00:53 server sshd[32193]: Accepted password for root from 192.168.3.3 port 50087 ssh2 我已经改变了我的SSH运行在一个非标准的端口。 前两个失败的SSH尝试来自未知来源(不是我的任何IP地址),第三个成功是从我的login。 但是,日志中“port”后面列出的数字不是SSH在服务器上响应的端口号….那么这个数字是多less?
这是客户端的端口。 它将是一个随机数(小于65535),与服务器运行的端口无关。
另外,最好限制rootlogin。 使用一个普通的用户和sudo或su来升级priv。
它是源端口 – 从您的SSH侦听器发起连接的(随机)端口。
对于ssh服务器来说,另一个好主意是把端口移动到22以外的地方,因为它是随机扫描的(这就是你所看到的)。 其他常见的lockingssh的方法是使用“allowed-hosts”function,实现“端口敲击”和iptables脚本,这些脚本会阻止sshd访问一段时间到失败login尝试次数过多的IP地址。
最后但也是最重要的是使用强密码并定期轮换。