Що можна дізнатися про користувача з невдалої спроби SSH?

Що можна дізнатися про "користувача" з невдалої спроби зловмисного SSH?

• Введене ім’я користувача ( /var/log/secure)
• Введений пароль (якщо він налаштований, тобто за допомогою модуля PAM)
• IP-адреса джерела ( /var/log/secure)

Чи існують якісь способи вилучення чогось іншого? Будь то інформація, прихована у файлах журналу, випадкових трюках чи від сторонніх інструментів тощо.

Ну, предмет, який ви не згадували, - це відбитки приватних ключів, які вони спробували перед введенням пароля. З openssh, якщо ви встановите LogLevel VERBOSEв /etc/sshd_config, ви отримаєте їх в лог - файли. Ви можете перевірити їх на відбір відкритих ключів, які ваші користувачі авторизували у своїх профілях, щоб побачити, чи були вони порушені. У випадку, якщо зловмисник отримав приватний ключ користувача та шукає ім’я для входу, знаючи, що ключ порушений, це може запобігти вторгненню. Правда, це рідкість: хто має приватний ключ, напевно, дізнався і ім’я для входу ...

Трохи далі заглибившись LogLevel DEBUG, ви також можете дізнатися клієнтське програмне забезпечення / версію у форматі

Client protocol version %d.%d; client software version %.100s

Він також надрукує обмін ключами, шифри, MAC та методи стиснення, доступні під час обміну ключами.

Якщо спроби входу дуже часті або трапляються в усі години дня, то ви можете підозрювати, що вхід здійснює бот.

Можливо, ви зможете вивести звички користувача з часу дня, коли він входить, або іншої активності на сервері, тобто входи завжди через N секунд після потрапляння Apache з тієї самої IP-адреси, або запиту POP3, або git тягнути.