Що можна дізнатися про користувача з невдалої спроби SSH?


24

Що можна дізнатися про "користувача" з невдалої спроби зловмисного SSH?

  • Введене ім’я користувача ( /var/log/secure)
  • Введений пароль (якщо він налаштований, тобто за допомогою модуля PAM)
  • IP-адреса джерела ( /var/log/secure)

Чи існують якісь способи вилучення чогось іншого? Будь то інформація, прихована у файлах журналу, випадкових трюках чи від сторонніх інструментів тощо.


Не слід вмикати модулі PAM для реєстрації невдалих спроб пароля. Тоді ви можете банально опрацювати паролі інших людей, переглянувши їх невдалі спроби входу (через помилки друку чи що завгодно).
Музер

Відповіді:


27

Ну, предмет, який ви не згадували, - це відбитки приватних ключів, які вони спробували перед введенням пароля. З openssh, якщо ви встановите LogLevel VERBOSEв /etc/sshd_config, ви отримаєте їх в лог - файли. Ви можете перевірити їх на відбір відкритих ключів, які ваші користувачі авторизували у своїх профілях, щоб побачити, чи були вони порушені. У випадку, якщо зловмисник отримав приватний ключ користувача та шукає ім’я для входу, знаючи, що ключ порушений, це може запобігти вторгненню. Правда, це рідкість: хто має приватний ключ, напевно, дізнався і ім’я для входу ...


17

Трохи далі заглибившись LogLevel DEBUG, ви також можете дізнатися клієнтське програмне забезпечення / версію у форматі

Client protocol version %d.%d; client software version %.100s

Він також надрукує обмін ключами, шифри, MAC та методи стиснення, доступні під час обміну ключами.


6

Якщо спроби входу дуже часті або трапляються в усі години дня, то ви можете підозрювати, що вхід здійснює бот.

Можливо, ви зможете вивести звички користувача з часу дня, коли він входить, або іншої активності на сервері, тобто входи завжди через N секунд після потрапляння Apache з тієї самої IP-адреси, або запиту POP3, або git тягнути.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.