Вопросы по sshd (и iptables).
Читал сейчас логи. Много думал;).
Oct 4 13:08:49 nick sshd[8913]: error: Could not load host key: /etc/ssh/ssh_host_key
Oct 4 13:08:49 nick sshd[8913]: Unable to check blacklist for host key 80:2a:4a:5a:d7:e9:23:39:a2:b2:dd:69:51:a9:f9:43
Oct 4 13:08:49 nick sshd[8913]: Unable to check blacklist for host key c6:d0:21:a8:f2:79:24:89:ca:a1:81:55:1b:3d:b9:88
Oct 4 13:08:58 nick sshd[8913]: pam_tcb(sshd:auth): Authentication passed for ----- from (uid=0)
Oct 4 13:08:58 nick sshd[8913]: Accepted password for ----- from ----- port 45482 ssh2
Oct 4 13:08:58 nick sshd[8913]: pam_tcb(sshd:session): Session opened for ------ by (uid=0)
Oct 4 13:10:12 nick sshd[8913]: pam_tcb(sshd:session): Session closed for ------
Oct 4 13:10:16 nick sshd[9011]: error: Could not load host key: /etc/ssh/ssh_host_key
Oct 4 13:10:16 nick sshd[9011]: Unable to check blacklist for host key 80:2a:4a:5a:d7:e9:23:39:a2:b2:dd:69:51:a9:f9:43
Oct 4 13:10:16 nick sshd[9011]: Unable to check blacklist for host key c6:d0:21:a8:f2:79:24:89:ca:a1:81:55:1b:3d:b9:88
Oct 4 13:10:21 nick sshd[9011]: pam_tcb(sshd:auth): Authentication passed for ------- from (uid=0)
Oct 4 13:10:21 nick sshd[9011]: Accepted password for ------ from ------ port 45483 ssh2
Oct 4 13:10:21 nick sshd[9011]: pam_tcb(sshd:session): Session opened for ------ by (uid=0)
Oct 4 13:11:41 nick sshd[9011]: pam_tcb(sshd:session): Session closed for ------
Это я заходил. С первой строчкой разобрался (случайно пропустил в sshd_config строчку с одним из HostKey - не изменил путь).
1. Почему порт отличный от 22? И при этом меняется.
2. Почему при политике в iptables облома всех портов, кроме указанных (и кроме соединений инициированных с моей стороны) - оно пропускает данные соединения? iptables достаточно большой - весь приводить не буду. Может быть все так и должно быть?;)
3. Что значит "Unable to check blacklist for"? Перевести-то перевел, но что это означает применительно к данной ситуации?
Еще кусок лога (кто-то ломился, однако;))
Oct 4 15:51:06 nick sshd[11783]: reverse mapping checking getaddrinfo for ----- failed - POSSIBLE BREAK-IN ATTEMPT!
Oct 4 15:51:06 nick sshd[11783]: UNKNOWN USER from ------
Oct 4 15:51:06 nick sshd[11786]: input_userauth_request: UNKNOWN USER
Oct 4 15:51:06 nick sshd[11783]: pam_tcb(sshd:auth): Authentication failed for UNKNOWN USER from (uid=0)
Oct 4 15:51:08 nick sshd[11783]: Failed password for UNKNOWN USER from ------- port 46220 ssh2
Oct 4 15:51:08 nick sshd[11786]: Received disconnect from -------: 11: Bye Bye
1. Что значит первая строчка? То, что поссибле попытка взлома - это я понял.
2. Последняя строчка означает, что соединение с sshd было установлено, но дальше не прошло ибо unknown user, поэтому bye-bye. Правильно?
3. UNKNOWN USER - это, как я понимаю, логин, который системе не известен. Так? А как узнать какой логин вводили?
Oct 5 06:33:45 nick sshd[1698]: Did not receive identification string from -----
А это значит, что соединение разорвано до того, как юзер ввел логин/пароль?
Спасибо.
_____________________________________________________________
Действующая тема: http://forum.altlinux.org/index.php/topic,1688.msg25526.html#msg25526
