Чи порушений мій пароль, оскільки я забув натиснути Enter після ssh-імені користувача?


142

Я щойно спробував увійти на сервер Fedora (випуск 13 Goddard) за допомогою SSH (PuTTY, Windows). Чомусь Enterпісля введення мого імені користувача не пройшло, і я набрав свій пароль і натиснув Enter ще раз. Я зрозумів свою помилку лише тоді, коли сервер привітав мене із задоволенням

MyUserName MyPassword @ server.example.com Пароль:

Я перервав з'єднання в цей момент і змінив пароль на цій машині (через окремий SSH-з'єднання).

... тепер моє запитання таке: чи зберігається такий невдалий логін у простому тексті в будь-якому журналі? Іншими словами, я щойно примусив свого (застарілого) пароля перед очима віддаленого адміністратора наступного разу, коли він сканує свої журнали?

Оновлення

Дякуємо за всі коментарі щодо припущеного питання "що робити, щоб у майбутньому цього не допустити". Для швидкого одноразового підключення я зараз використовувати цю функцію PuTTY:

введіть тут опис зображення

замінити параметр "auto-login username" де-was-it-знову

введіть тут опис зображення

Також я почну використовувати клавіші ssh частіше, як пояснено в документах PuTTY .


4
Це справді гарне запитання. Я думаю, що ми всі випадково набрали UsernamePassword в якусь послугу в якийсь момент часу. Це зробити занадто просто.
користувач606723

2
Ще одна вагома причина змінити пароль з розумною регулярністю.
Йонас

25
Ви можете цього уникнути, сказавши своєму ssh-клієнту підключитися до username@server.example.com. Тоді вам буде запропоновано лише ввести пароль, що зробить подібну аварію неможливою. Ще краще, однак, було б просто використовувати публічні / приватні ключі.
Кевін

1
@Iceman дякую за цей натяк - оскільки я знав, що PuTTY приховує ім'я користувача під Connection/Data/Login details/Auto-login usernameцим, мені ніколи не спадало на думку, що поле "Ім'я хоста (або IP-адреса)" також може приймати ім'я користувача @ ім'я хоста, як відповідний клієнтський рядок ssh-клієнта.
Йонас Гейдельберг

4
Використовуйте аутентифікацію на основі ключів.
Zoredache

Відповіді:


148

Коротше кажучи: так.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

21

Якщо я добре пам’ятаю, він справді реєструється в журналі, якщо для рівня журналу встановлено значення DEBUG або TRACE.

EDIT: Це підтверджено, я намагався увійти на свій сервер і знайшов це у своїх журналах.

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Примітка: IP-адреси приховані


51
Ваші IP-адреси не приховані, вони просто розміщуються як римські цифри.
Барт Сільверстрім

2
або експлікації.
Sirex

8
або це Мекка хлопчиків-підлітків в Інтернеті - IP порно.
deanWombourne

10

Або як для додаткової безпеки, так і для зручності, вам слід подумати про налаштування ключів SSH ...

# ssh-keyget -t rsa
(прийняти всі типові настройки)

і ти отримуєш ...

~ / .ssh / id_rsa
~ / .ssh / id_rsa.pub

Side-Note: Ви можете перейменувати свої ключові файли, якщо додати ~ / .ssh / config з чимось на зразок такого вмісту:

# cat ~ / .ssh / config
Ведучий *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Введіть вміст вашого відкритого ключа (буде один рядок):

# кіт ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ ім'я хоста

Тепер увійдіть у цільове поле та вставте цей рядок у ~ / .ssh / санкціоновані_кеї.

Побічна примітка: рядок pubkey закінчується в читаній людиною рядку типу "ddopson @ ім'я хоста". Ви можете змінити це, щоб він був більш описовим для ключа, який ви використовуєте (наприклад, якщо у вас багато клавіш). Цей рядок НЕ використовується як частина аутентифікації, а лише для опису ключа для інших людей.

Це воно. Тепер, коли ви сш на хост, вам навіть не буде запропоновано пароль.

Якщо ви переживаєте за збереження вашого приватного ключа (id_rsa), можете додати пароль до самого ключа (див. Ssh-keygen), захистивши його від використання будь-хто, хто має доступ до ваших файлів. Потім можна використовувати ssh-агент для розшифрування ключа та надійного зберігання його в пам'яті, щоб він міг використовуватися для декількох з'єднань SSH.


Я, мабуть, мав би додати windows-clientsтег до свого питання. Це інструкція пояснює, як зробити ключі ssh за допомогою PuTTY.
Йонас Гейдельберг

ви можете зробити те саме, що і з PuTTY. Ви можете додати ключі до PuTTY або використовувати PuTTYgen для створення ключів. Одинакова історія, різні команди. (Я думаю, це на вкладці аутентифікації параметрів з'єднання).
Дейв Допсон

0

Пароль був зашифрований при передачі. Так, можливо, ваш пароль був порушений, оскільки він був надрукований у журналі на сервері призначення. Однак я також хотів би сказати, що кожного разу, коли ви вводите свій пароль на комп’ютері, це може бути порушено, оскільки на вашому комп'ютері може бути програмне забезпечення-шпигунське програмне забезпечення або приєднаний кейлоггер.

Якщо ви єдиний адміністратор цієї системи і вважаєте, що ця система не була порушена, то ви можете з відносною впевненістю припустити, що ваш пароль не був порушений так само, як зазвичай ви припускаєте, що на вашому комп'ютері немає шпигунських програм, оскільки ви цього не зробили був свідком чогось підозрілого. Ви можете редагувати журнал на цьому сервері та видаляти посилання на свій пароль.

Цей випадок є однією з причин, чому краще використовувати ключі SSH замість паролів. Тоді, навіть якщо хтось отримає введений на комп’ютері пароль для розшифровки приватного ключа на вашому комп’ютері, він все одно не зможе отримати доступ до віддаленого сервера; їм також потрібен файл приватного ключа. Безпека - це все про шари. Ніщо не є ідеальним, але якщо ви додасте достатню кількість шарів, то досить складно, що зловмисник просто рухатиметься далі, або ви їх ловите, тому що це займає більше часу.

Я б цього не робив, якщо ваш пароль захищає дуже чутливу інформацію або критичні ресурси. Це залежить від того, наскільки чутливий ваш пароль.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.