Вместо того, чтобы заставлять возможных хакеров сканировать порт моего сервера, я хотел бы просто имитировать, что sshd прослушивает порт 22, и регистрировать попытки. Будет ли это иметь смысл? Если да, то какие активно разрабатываемые инструменты / библиотеки доступны.
Вы также можете просто регистрировать все попытки подключения к порту 22 с помощью iptables, даже если на этом порту ничего не прослушивается:
$ sudo iptables -A INPUT -p tcp --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0
Чтобы ответить на вопрос "Будет ли это иметь смысл?" Я спрашиваю: «Вы исследователь безопасности?» Если вы ответите утвердительно, тогда будет иметь смысл запускать приманку ssh.
Если вы просто запускаете производственную службу и не заботитесь о неудачных сканированиях, просто запустите свой sshd на другом порту с дополнительными механизмами аутентификации (например, только с открытым ключом или требующим Yubikey или аналогичного устройства) и удалите порт 22. трафик без регистрации.
Существуют ssh-черви грубой силы, активно сканирующие Интернет, которые будут зондировать ваш ssh-порт в течение всего дня, и если вы не собираетесь просматривать данные из журналов брандмауэра или приманок, все, что вы делаете, - это тратите место на диске.
Вам нужна приманка.
Пример: http://code.google.com/p/kippo/