Comment puis-je simuler le port 22 lorsque j'ai fait écouter sshd à un autre port?

9

Au lieu de rendre les pirates possibles à partir de l'analyse de port sur mon serveur, je voudrais simplement simuler que sshd écoute sur le port 22 et enregistrer les tentatives. Serait-il logique de faire cela? Si oui, quels outils / bibliothèques développés activement sont disponibles.

Jürgen Paul
la source
1
Mais vous feriez mieux de vous rappeler que l'installation de tout logiciel supplémentaire augmente de toute façon les risques de pénétration. Il est peut-être vrai qu'OpenSSH serait plus fort à percer que tout ce qui est "faux" comme le pot de miel, par exemple. Cela signifie donc que vous auriez besoin de durcir son installation d'une manière.
poige

Réponses:

9

Vous pouvez également simplement enregistrer toutes les tentatives de connexion au port 22 avec iptables, même si rien n'écoute sur ce port:

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 
Dennis Kaarsemaker
la source
4

Pour répondre à la question "Est-ce que cela aura du sens de le faire?" Je demande: "Êtes-vous un chercheur en sécurité?" Si vous répondez oui, alors exécuter un pot de miel ssh aurait du sens.

Si vous exécutez simplement un service de production et que vous ne vous souciez pas des analyses échouées, exécutez simplement votre sshd sur un port différent avec des mécanismes d'authentification supplémentaires (tels que la clé publique uniquement ou nécessitant un Yubikey ou un appareil similaire) et supprimez le port 22 trafic sans le journaliser.

Il y a des vers ssh de force brute qui analysent activement Internet et qui sonderont votre port ssh toute la journée, et si vous ne regardez pas les données des journaux de pare-feu ou des pots de miel, tout ce que vous faites est de gaspiller de l'espace disque.

Paul Gear
la source
3
La question pour moi n'est pas "Puis-je faire cela?", Mais "Dois-je faire cela?". Je vois de nombreux administrateurs système ou développeurs faire des choses parce qu'ils pensent qu'ils le devraient, ou parce que quelqu'un leur a dit qu'ils le devraient ou parce que «tout le monde» le fait. Faire quoi que ce soit sans avoir clairement défini les besoins, les objectifs et les résultats attendus est une perte de temps, d'argent et d'énergie.
joeqwerty