Answers:
您也可以简单地记录所有使用iptables连接到端口22的尝试,即使该端口上没有监听:
$ sudo iptables -A INPUT -p tcp --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0
回答问题“这样做有意义吗?” 我问:“您是安全研究员吗?” 如果您回答是,那么运行ssh honeypot将很有意义。
如果您只是在运行生产服务而不必担心扫描失败,则可以在具有其他身份验证机制(例如仅公用密钥,或者需要Yubikey或类似设备)的其他端口上运行sshd,并丢弃端口22无需记录流量。
有蛮力的ssh蠕虫会主动扫描Internet,整天会探测您的ssh端口,如果您不打算查看防火墙日志或蜜罐中的数据,那么您所做的就是浪费磁盘空间。
你想要一个蜜罐。