Общие сведения о журналах sshd
GitKraken - лучший графический интерфейс для Linux по работе с git. Это бесплатно только для некоммерческого использования. Никакие другие клиенты с графическим интерфейсом для Linux не соответствуют этому на момент написания этого ответа.
Вам стоит хотя бы раз взглянуть.
Нет подходящего порта, есть только хорошие конфигурации SSH. Если вы отключите вход на основе пароля -и разрешите аутентификацию только на основе ключа -, вы не сильно рискуете от таких попыток грубой -форсировки. Можно добавить стук в порт -, но это безопасность за счет мрака.
Номера портов, указанные справа от журналов, являются исходными портами; они распределяются динамически и находятся в исходной, а не в целевой системе.
[preauth]означает, что зарегистрированное событие произошло до того, как соединение было аутентифицировано — , то есть в данном случае, что соединение закрывается до аутентификации.Все журналы из вашего второго набора журналов соответствуют не -SSH-трафику, отправленному вашему демону. Вы увидите, что это происходит довольно часто, особенно если вы прослушиваете нестандартный порт -— различные сканеры будут отправлять запросы, не зная, что прослушивается на другом конце.
Сканирование больших участков Интернета на различных портах не занимает много времени, если у вас есть хорошо -подключенные системы для сканирования или большое количество скомпрометированных хостов в ботнете. См.massscanдля примера инструмента сканирования массы -. Существуют также списки известных -открытых IP-адресов и портов, которые распространяются; так что все, что нужно, это одно сканирование, чтобы найти ваш открытый порт 9000.
За исключением подробного руководства по журналам sshd, но с учетом ваших замечаний:
Did I just choose a port that's too easy to guess? What would be a better port number?
Существует «всего» 65 535 портов, и сканеры хорошо их находят, поэтому, как только вы вышли за пределы порта 22, чтобы избежать простейших сканирований, не так много преимуществ в выборе одного произвольного порта над другим.
What do the port numbers in these sshd logs even mean? How can they have access to port (43944) if my router is only configured to forward port 9000 to port 22? I
Номера портов после IP-адресов, такие как 209.17.97.34 port 43944, указывают исходный -порт стороны , который, вероятно, был произвольно выбран ядром на этой стороне. Для тебя это почти ничего не значит.
What does [preauth] mean?
Это сокращение от «до (до )аутентификации»; ssh работает поэтапно, и это один из них. Здесь, в U&L , есть и другие похожие вопросы.
What does Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248 mean?
Быстрый поиск в Google дал это странный запрос в журналах сервера REMOTE HI _SRDK _DEV _GetHddInfo в Stack Overflow --, подкрепляя идею о том, что это сканер, ищущий «возможности».
Что ж, ваш плохой протокол сканирует цифровые видеорегистраторы Kguard, уязвимые для CVE -2015 -4464. Просто по умолчанию они используют порт 9000..
https://dl.packetstormsecurity.net/1506-exploits/kdvr-authorization.txt