我试图了解我在 SSH 日志文件中看到的内容,以便能够最好地防御坏人。特别想了解日志中“端口”后面列出的数字。这是我的日志文件中的一个示例
Mar 30 00:05:16 server sshd[11067]: Failed password for root from 124.228.136.143 port 54381 ssh2
Mar 30 00:05:21 server sshd[11067]: Failed password for root from 124.228.136.143 port 54381 ssh2
Mar 30 01:00:53 server sshd[32193]: Accepted password for root from 192.168.3.3 port 50087 ssh2
我已将 SSH 更改为在非标准端口上运行。前两次失败的 SSH 尝试来自未知来源(不是我的任何 IP 地址),第三次成功是我的登录。但是日志中“端口”后面列出的数字不是 SSH 在服务器上响应的端口号......那么这个数字是什么?
答案1
这是客户端的端口。它将是一个随机的高数字(小于 65535),并且与服务器继续运行。
答案2
另外,最好限制 root 登录。使用普通用户和 sudo 或 su 来提升权限。
答案3
它是源端口 - 向您的 SSH 侦听器发起连接的(随机)端口。
答案4
对于 ssh 服务器来说,另一个好主意是将端口移至 22 以外的其他端口,因为该端口始终会被随机扫描(这就是您所看到的)。锁定 ssh 的其他常用方法是使用“允许的主机”功能、实施“端口敲击”和 iptables 脚本,这些脚本将在一段时间内阻止对登录尝试失败次数过多的 IP 地址的 sshd 访问。
最后但同样重要的一点是,使用强密码并定期轮换。