UFW 阻止了所有传入端口,除了我打开的几个端口之外。
在 auth.log 中,我看到很多通过封闭端口进入的尝试。例如:
Connection closed by 52.167.224.94 port 40030 [preauth]
UFW 应该关闭此端口。为什么它会出现在 auth.log 中?这是否是安全风险?有没有好的网页可以让我阅读更多有关此主题的信息。
答案1
40030 是客户端端口,或者说源端口。如果我运行,并在发送密码之前中断登录,则日志中会出现以下内容:ssh [email protected]
Apr 5 16:09:15 example.com sshd[8164]: Connection closed by 192.168.0.1 port 54250 [preauth]
从一开始,就有时间戳、机器名称(example.com)、哪个守护进程 [守护进程的 pid]:哪个客户端在哪个端口 [在哪个阶段] 发生了什么事情
因此,这是来自 52.167.224.94、远程端口 40030 的连接,可能是到您机器上的 sshd 的连接,该连接在预认证期间被远程端关闭。
连接来自的端口范围称为临时端口,并且根据操作系统略有不同,但通常>25000。
引用日志行时,请包含整行。如果包含任何隐私信息,请删除并注明已删除。