Я пытаюсь понять, что вижу в моем файле журнала SSH, чтобы лучше защищаться от плохих парней. Особо интересует понимание числа, указанного после "порта" в логе. Вот образец из моего файла журнала
Mar 30 00:05:16 server sshd[11067]: Failed password for root from 124.228.136.143 port 54381 ssh2
Mar 30 00:05:21 server sshd[11067]: Failed password for root from 124.228.136.143 port 54381 ssh2
Mar 30 01:00:53 server sshd[32193]: Accepted password for root from 192.168.3.3 port 50087 ssh2
Я изменил свой SSH для работы на нестандартном порту. Первые две неудачные попытки SSH получены из неизвестного источника (не из моих IP-адресов), третья успешная попытка - это мой логин. Однако номер, указанный после «порта» в журнале, не является номером порта, на который SSH отвечает на сервере .... так что это за номер?
Это порт на стороне клиента. Это будет случайное большое число (меньше 65535), не связанное с портом, который сервер бежит дальше.
Кроме того, лучше ограничить вход в систему с правами root. Используйте обычного пользователя и sudo или su для повышения привилегий.
Это исходный порт - (случайный) порт, с которого инициируется соединение с вашим прослушивателем SSH.
Еще одна хорошая идея для ssh-серверов - переместить порт не на 22, поскольку он все время сканируется случайным образом (это то, что вы видите). Другими распространенными способами блокировки ssh являются использование функции «allowed-hosts», реализация «блокировки портов» и сценариев iptables, которые блокируют доступ sshd на некоторое время к IP-адресам, которые имеют слишком много неудачных попыток входа в систему.
И последнее, но не менее важное: используйте надежные пароли и регулярно меняйте их.