Хорошо - разыскал его. Это не была неверная конфигурация моей сети. Это была неверная конфигурация настроек HA для кластера.
Хосты VMware подключены к двум основным коммутаторам Dell 6248 с маршрутизацией значения по умолчанию к адресу VRRP. Этот адрес не является дающим отклик на ping-запрос, и VMware использует шлюз в качестве адреса изоляции. Я обнаружил это через сообщения об ошибках для хоста - определенная ошибка (не может обратиться по адресу изоляции: IP-адрес), не отображен на кластерном уровне.
Я зафиксировал это путем добавления следующих значений к расширенным настройкам для HA:
VMware рекомендует увеличить failuredetectiontime значение при использовании больше чем одного адреса изоляции.
После добавления этих настроек я отключил и renabled HA, и ошибка больше не отображается для моего хоста.
. Вы также можете просто регистрировать все попытки подключения к порту 22 с помощью iptables, даже если ничего прослушивает этот порт:
$ sudo iptables -A INPUT -p tcp --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0
Чтобы ответить на вопрос «Будет ли это иметь смысл?» Я спрашиваю: «Вы исследователь безопасности?» Если вы ответите утвердительно, то запуск приманки ssh будет иметь смысл.
Если вы просто запускаете производственную службу и вас не волнуют неудачные попытки сканирования, просто запустите sshd на другом порту с дополнительными механизмами аутентификации (такими как только в качестве открытого ключа или требуется Yubikey или подобное устройство) и отбрасывать трафик порта 22 без регистрации.
Существуют ssh-черви грубой силы, активно сканирующие Интернет, которые будут проверять ваш порт ssh в течение всего дня, и если вы не собираетесь просматривать данные из журналов брандмауэра или приманок, все, что вы делаете, - это тратите место на диске.