формат строки журнала sshd

Question

Как ни крути, я нигде не могу найти формат строки журнала сервера SSH ...

В частности, моя проблема в том, что я знаю, что на меня напали, мой журнал полон строк вроде этого:

Jun 26 08:55:51 singularity sshd[3233]: Connection closed by invalid user console 103.244.82.231 port 43554 [preauth]

но я не могу узнать, что означает поле port . У меня есть брандмауэр, который запрещает все, но несколько портов, что означает, что это не может быть локальный порт, но к какому порту он относится?

Answer 1

Это удаленный порт.

Каждый TCP-сокет идентифицируется парой адресов и парой портов. Удаленный порт используется серверами (и шлюзами NAT) для различения нескольких подключений одним и тем же клиентом. Чтобы журналы были полезны, им нужно показывать всю информацию, относящуюся к «удаленному» концу, а не только ее часть.