由于日志消息是在建立连接后由 sshd 守护进程写入的,所以我的理解是主机字符串已经由 sshd 守护进程验证,因为自 /var/log/auth.log 以来日志记录不会在那里。有关于主机验证发生后 sshd 登录尝试的消息。
它是否正确?
日志消息示例:
Sep 8 06:28:55 boxhost sshd[29013]: Invalid user teamspeak3 from 134.209.108.13 port 57936
Sep 8 06:29:51 boxhost sshd[29057]: Failed password for root from 112.85.42.188 port 62425 ssh2
Sep 8 06:29:52 boxhost sshd[29059]: Failed password for invalid user password123 from 103.101.49.6 port 56756 ssh2
在上面的日志行中,有 ipv4 地址,但它们可能是 ipv6 或 host.com 格式的主机字符串,我倾向于说,由于在这些消息出现在此日志文件中之前建立了连接,因此它们通过了 sshd 验证步骤命令建立连接。
答案1
Sep 8 06:28:55 boxhost sshd[29013]: Invalid user teamspeak3 from 134.209.108.13 port 57936
IP 地址 134.209.108.13 是 ssh 守护程序接收到的来自 TCP 连接的 IP 地址。除了可以使用/从该 IP 地址建立成功的 TCP 连接之外,ssh 守护程序不会在任何其他方面“验证”它,即 SYN-ACK-ACK 步骤在 TCP/IP 级别和足够的 ssh 协议上完成通过该 IP 连接交换消息以协商密码并发送“teamspeak3”作为登录名...
一旦存在 IP 连接,您的系统可能会进行反向 DNS 查找,将该 IP 地址转换为主机名,然后将其记录下来,但我认为 sshd 不会进行更严格的检查,例如,是否返回主机名的前向记录反向查找存在且匹配。