연결이 설정된 후 sshd 데몬에 의해 로그 메시지가 기록되므로 /var/log/auth.log 이후에는 로깅이 없으므로 sshd 데몬에 의해 호스트 문자열이 확인된 것으로 이해됩니다. 호스트 인증이 발생한 후 sshd 로그인 시도에 대한 메시지가 있습니다.
맞습니까?
로그 메시지 예시:
Sep 8 06:28:55 boxhost sshd[29013]: Invalid user teamspeak3 from 134.209.108.13 port 57936
Sep 8 06:29:51 boxhost sshd[29057]: Failed password for root from 112.85.42.188 port 62425 ssh2
Sep 8 06:29:52 boxhost sshd[29059]: Failed password for invalid user password123 from 103.101.49.6 port 56756 ssh2
위의 로그 줄에는 ipv4 주소가 있지만 ipv6 또는 host.com 형식의 호스트 문자열일 수 있습니다. 이 메시지가 이 로그 파일에 나타나기 전에 연결이 설정되었기 때문에 연결이 완료되었다고 말하고 싶습니다. sshd 확인 단계 명령은 연결을 설정합니다.
답변1
Sep 8 06:28:55 boxhost sshd[29013]: Invalid user teamspeak3 from 134.209.108.13 port 57936
IP 주소 134.209.108.13은 TCP 연결에서 ssh 데몬이 받은 IP 주소입니다. ssh 데몬은 해당 IP 주소를 사용하여/로부터 성공적인 TCP 연결을 설정할 수 있다는 것 이외의 다른 방법으로는 이를 "확인"하지 않습니다. 즉, SYN-ACK-ACK 단계가 TCP/IP 수준에서 완료되고 SSH의 충분한 수준에서 완료됩니다. 프로토콜이 전달되었습니다. IP 연결은 메시지를 교환하여 비밀번호를 협상하고 "teamspeak3"을 로그인으로 보냅니다.
IP 연결이 있으면 시스템은 역방향 DNS 조회를 수행하고 해당 IP 주소를 호스트 이름으로 변환한 다음 기록할 수 있지만 sshd는 호스트 이름이 반환되는지 여부와 같은 더 엄격한 확인을 수행하지 않는 것 같습니다. 레코드 역방향 조회가 존재하고 일치합니다.