sshdに別のポートをリッスンさせたときに、ポート22を偽造するにはどうすればよいですか？

9

サーバーをポートスキャンしてハッカーの可能性を作る代わりに、sshdがポート22でリッスンしていることを偽装し、試行をログに記録したいと思います。それを行うことは理にかなっていますか？はいの場合、積極的に開発されているツール/ライブラリを利用できます。

security ssh

— ユルゲンポール
ソース

1

ただし、追加のソフトウェアをインストールすると、侵入のリスクが高まることを覚えておくとよいでしょう。OpenSSHはハニーポットのような「偽物」よりも侵入に強いと言えるかもしれません。つまり、ある方法でインストールを強化する必要があるということです。

— 2013年

10

あなたは次のようSSHDのハニーポットを使用することができますKIPPOやKojoney

— デビッド・ハウデ
ソース

9

そのポートで何もリッスンしていない場合でも、ポート22に接続するすべての試行をiptablesで単純にログに記録することもできます。

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0

— デニス・カールスメーカー
ソース

4

「そうすることは理にかなっていますか」という質問に答えるために。「あなたはセキュリティ研究者ですか？」はいと答えた場合、sshハニーポットを実行することは理にかなっています。

運用サービスを実行しているだけで、スキャンの失敗を気にしない場合は、sshdを別のポートで実行し、追加の認証メカニズム（公開鍵のみ、またはYubikeyまたは同様のデバイスが必要など）とポート22をドロップします。ログに記録せずにトラフィック。

インターネットを積極的にスキャンするブルートフォースのsshワームがあり、1日中sshポートを調査します。ファイアウォールログやハニーポットからデータを確認するつもりがない場合は、ディスクスペースを浪費しているだけです。

— ポールギア
ソース

3

私にとっての質問は、「これを行うことができますか」ではなく、「これを行うべきですか？」です。私は多くのシステム管理者や開発者がそうするべきだと思うため、または誰かが彼らにやるべきだと言ったため、または他の「全員」がそれをしているために何かをしているのを見ます。明確に定義されたニーズ、目的、期待される結果なしに何かを行うことは、時間、お金、エネルギーの浪費です。

— joeqwerty 2013年

3

ハニーポットが欲しい。

例：http : //code.google.com/p/kippo/

— バート・デ・ヴォス
ソース