Як я можу підробити порт 22, коли я змусив sshd слухати інший порт?

Замість того, щоб робити можливих хакерів від сканування портів на моєму сервері, я хотів би просто підробити, що sshd прослуховує порт 22 і записує спроби. Чи буде сенс це робити? Якщо так, то які активно розроблені інструменти / бібліотеки доступні.

Ви можете використовувати Sshd приманку як Kippo або Kojoney

Ви також можете просто записати всі спроби підключення до порту 22 за допомогою iptables, навіть якщо на цьому порту нічого не слухається:

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 

Щоб відповісти на запитання "Чи має сенс це робити?" Я запитую: "Ви дослідник безпеки?" Якщо ви відповісте так, то запустити ssh honeypot було б сенсом.

Якщо ви просто запускаєте службу виробництва, і вам не байдуже невдале сканування, просто запустіть свій sshd на іншому порту з додатковими механізмами аутентифікації (наприклад, лише відкритим ключем або потрібним пристроєм Yubikey або подібним пристроєм) та відпустіть порт 22 трафіку без реєстрації.

Існують грубі сили ssh-черв'яків, які активно сканують Інтернет, які пробуватимуть ваш порт ssh протягом усього дня, і якщо ви не збираєтеся переглядати дані з журналів брандмауера або медових горщиків, все, що ви робите, це марно витрачати на диску.

Ви хочете медовий горщик.

Приклад: http://code.google.com/p/kippo/