令人抓狂的是,我无法在任何地方找到 SSH 服务器日志行格式......
具体来说,我的问题是我知道我受到了攻击,我的日志里充满了这样的行:
Jun 26 08:55:51 singularity sshd[3233]: Connection closed by invalid user console 103.244.82.231 port 43554 [preauth]
但我不知道该port字段是什么意思。我的防火墙拒绝所有端口,只允许少数端口通过,这意味着这不可能是本地端口,但它指的是谁的端口?
答案1
这是偏僻的港口。
每个 TCP 套接字都由一对地址和一对端口标识。远程端口由服务器(和 NAT 网关)用于区分同一客户端的多个连接。要使日志有用,它们需要显示属于“远程”端的所有信息,而不仅仅是其中的一部分。