Вопросы Теги

Как я могу фальсифицировать порт 22, когда я заставил sshd слушать другой порт?

Хорошо - разыскал его. Это не была неверная конфигурация моей сети. Это была неверная конфигурация настроек HA для кластера.

Хосты VMware подключены к двум основным коммутаторам Dell 6248 с маршрутизацией значения по умолчанию к адресу VRRP. Этот адрес не является дающим отклик на ping-запрос, и VMware использует шлюз в качестве адреса изоляции. Я обнаружил это через сообщения об ошибках для хоста - определенная ошибка (не может обратиться по адресу изоляции: IP-адрес), не отображен на кластерном уровне.

Я зафиксировал это путем добавления следующих значений к расширенным настройкам для HA:

  • десять кубометров isolationaddress1 = размещает IP-адрес основного коммутатора 1
  • десять кубометров isolationaddress2 = размещает IP-адрес основного коммутатора 2
  • das.usedefaultisolationaddress = ложь
  • das.failuredetectiontime = 20000

VMware рекомендует увеличить failuredetectiontime значение при использовании больше чем одного адреса изоляции.

После добавления этих настроек я отключил и renabled HA, и ошибка больше не отображается для моего хоста.

9
задан 26 October 2013 в 13:00
4 ответа

Вы можете использовать приманку SSHD, например Kippo или Kojoney

10
ответ дан 2 December 2019 в 22:20

. Вы также можете просто регистрировать все попытки подключения к порту 22 с помощью iptables, даже если ничего прослушивает этот порт: 

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0
9
ответ дан 2 December 2019 в 22:20

Чтобы ответить на вопрос «Будет ли это иметь смысл?» Я спрашиваю: «Вы исследователь безопасности?» Если вы ответите утвердительно, то запуск приманки ssh будет иметь смысл.

Если вы просто запускаете производственную службу и вас не волнуют неудачные попытки сканирования, просто запустите sshd на другом порту с дополнительными механизмами аутентификации (такими как только в качестве открытого ключа или требуется Yubikey или подобное устройство) и отбрасывать трафик порта 22 без регистрации.

Существуют ssh-черви грубой силы, активно сканирующие Интернет, которые будут проверять ваш порт ssh в течение всего дня, и если вы не собираетесь просматривать данные из журналов брандмауэра или приманок, все, что вы делаете, - это тратите место на диске.

4
ответ дан 2 December 2019 в 22:20

Вам нужна приманка.

Пример: http://code.google.com/p/kippo/

3
ответ дан 2 December 2019 в 22:20

Теги

Похожие вопросы