Соединения в /proc/[pid]/net/tcp, которых нет в /proc/net/tcp
Что-то, что вы можете попробовать, это полностью отключить вход с паролем для учетной записи -, то есть не только SSH, но это также помешает кому-либо войти в систему под этой учетной записью пользователя с обычной консоли или с помощью графического оконного менеджера, или так далее. Для сервера-приманки, у которого нет другой цели, кроме сбора попыток входа в систему SSH, это должно быть хорошо.
В Linux вы можете отключить пароль учетной записи с помощью
# usermod --lock <username>
или
# passwd --lock <username>
Вы по-прежнему сможете входить в эту учетную запись с помощью ключа SSH, если у вас настроена аутентификация по публичному ключу, и вы по-прежнему можете использовать sudoдля выполнения команд под этой учетной записью, если она настроена соответствующим образом.
Естественно, если вы собираетесь сделать это с учетной записью root, вам, вероятно, следует сначала настроитьsudo, чтобы при необходимости можно было отменить процесс. Заблокированный пароль можно разблокировать с помощью usermod --unlockилиpasswd --unlock(или, в крайнем случае, путем прямого редактирования /etc/shadow). Если вы этого не сделаете, вы можете полностью потерять доступ к корневой учетной записи.
/proc/net является символической ссылкой на /proc/self/net, поэтому /proc/netи /proc/[pid]/netотличаются только тогда, когда процесс [pid]и процесс, который исследует /proc/net, находятся в разных сетевых пространствах имен .
Если вы хотите получить список всех сокетов, вам придется просмотреть все пространства имен; для двух процессов, находящихся в одном и том же сетевом пространстве имен, их /proc/PID/ns/netбудет иметь одинаковый номер инода. Таким образом, вы можете перечислить все различные сетевые пространства имен в вашей системе.