而不是让端口扫描我的服务器可能的黑客我想伪造sshd监听端口22并logging尝试。 这样做有道理吗? 如果是,那么积极开发的工具/库是可用的。
你可以使用像Kippo或Kojoney这样的SSHD蜜jar
即使没有监听端口,您也可以简单地使用iptableslogging所有连接到端口22的尝试:
$ sudo iptables -A INPUT -p tcp --dport 2222 -j LOG $ nc localhost 2222 $ tail -n1 /var/log/syslog Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 回答这个问题:“这样做有意义吗? 我问:“你是安全研究员吗?” 如果你回答是,那么运行一个ssh蜜jar就会有意义。
如果您只是运行生产服务,而不关心失败的扫描,只需使用其他身份validation机制(例如仅公钥或需要Yubikey或类似设备)在另一个端口上运行sshd,并丢弃端口22没有logging它的交通。
有蛮力的ssh蠕虫会主动扫描互联网,整天都在探测你的ssh端口,如果你不打算从防火墙日志或蜜jar里查看数据,你所做的只是浪费磁盘空间。
你想要一个蜜jar。
例如: http : //code.google.com/p/kippo/