- il essaie plein de lignes comme ca, avec ports et user qui changent, donc c'est surement fait automaquement non ?
sans doute oui
- pourquoi ca n'essaie pas sur le port 22 (port par défaut de SSH) ?
C'est bien le port 22 qu'il utilise tout le tps, sinon il ne se connecterait pas à sshd :)
Le port indiqué dans les logs correspond au port distant, sur lequel tu lui envoies les données.
- pourquoi moi ?? J'ai une IP fixe, mais ca prend des IP au hasard comme ca ??
Pas forcément "au hasard", il scanne (voir un peu plus si affinités) plutôt une plage d'IP données.
- que signifie la ligne " reverse mapping checking getaddrinfo..." ?
A priori, il vérifie qu'en faisant un reverse sur l'ip (pour avoir le nom), puis qu'on résolvait ce nom fourni, on retombait bien sur l'ip de départ:
- que peut-il se passer exactement si ca tombe sur un user autorisé à se connecter par ssh ?
Il est invité à saisir un mot de passe, ou sinon tu as configuré ton ssh pour n'accepter que les connexions par clé, à se connecter avec une clé.
- vous semble-t'il opportun de mettre une règle dans mon firewall pour chaque IP qui essaie de se connecter comme ca (au risque que ce soient pas des IP fixes...) ?
Oui, mais je pense pas que cela change grand chose, tu te feras attaquer d'autre part./
Il me semble plus opportunt de mettre une règle qui n'autorise le ssh que depuis certains endroits identifiés (même depuis une ip dynamique, un petit script qui vérifie régulièrement la valeur d'un dyndns donné, qui met à jour iptables et hop :)
# explications logs ssh
Posté par symoon . En réponse au message sshd : c'est quoi ces logs ?. Évalué à 6.
sans doute oui
C'est bien le port 22 qu'il utilise tout le tps, sinon il ne se connecterait pas à sshd :)
Le port indiqué dans les logs correspond au port distant, sur lequel tu lui envoies les données.
Pas forcément "au hasard", il scanne (voir un peu plus si affinités) plutôt une plage d'IP données.
A priori, il vérifie qu'en faisant un reverse sur l'ip (pour avoir le nom), puis qu'on résolvait ce nom fourni, on retombait bien sur l'ip de départ:
Il est invité à saisir un mot de passe, ou sinon tu as configuré ton ssh pour n'accepter que les connexions par clé, à se connecter avec une clé.
Oui, mais je pense pas que cela change grand chose, tu te feras attaquer d'autre part./
Il me semble plus opportunt de mettre une règle qui n'autorise le ssh que depuis certains endroits identifiés (même depuis une ip dynamique, un petit script qui vérifie régulièrement la valeur d'un dyndns donné, qui met à jour iptables et hop :)
Tu peux également changer ton ssh de port.