sudo: 3 помилкових спроби пароля - чи може root побачити пароль у чистому тексті?

Якщо якийсь користувач не може отримати доступ до певної команди sudo3 рази, про це слід повідомити користувача root у журналах доступу \ помилки.

Чи може root бачити ці спроби (як, наприклад, випробувані паролі) у тексті в журналах?

Ні, паролі за замовчуванням не реєструються. Це буде проблемою із безпекою, оскільки журнали можуть читати інші адміністратори, що дозволяє видавати себе за особу у випадку злегка введеного пароля.

Успішні та невдалі спроби входу входять у систему

/var/log/auth.log

Приклад успішної спроби:

Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

І невдало:

Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

Він записує невдалу спробу і записує також загалом 3 неправильно введені паролі.

Паролі для sudoспроб ніколи не відображаються і не зберігаються.

Звичайна практика - не реєструвати паролі, які використовуються при спробах входу, навіть якщо відповідний пароль був недійсним. Це просто тому, що пароль може бути дійсним для іншого користувача в тій же системі (наприклад, користувач помилково ввів своє ім’я користувача , а не пароль), або це може бути тривіальне чергування фактичного пароля (користувач пропустив лист чи так).

Жоден із цих випадків не залишатиме простого пароля, що лежить у системі, вразливий до деякої витоку інформації. (Цей пароль також може бути дійсним паролем для будь-якої іншої системи, ніж тієї, в яку було введено, але це справді більша проблема для "них", а не для "нас".)

Дещо пов’язані з цим є випадки, коли користувач пише свій пароль замість свого імені користувача (наприклад, зазвичай вони використовують систему, яка автоматично вводить ім’я користувача, але тепер не, але все ж вводить пароль як перше). У такому випадку у вас буде пароль прямого тексту в журналах. Це не оптимально, але побачити імена користувачів для звичайних невдалих спроб входу корисно, і немає простого рішення для їх збереження, але не паролів, введених як імена користувачів.

Однак це не означає, що адміністратор системи також не може записувати паролі в систему. Додавання журналу, ймовірно, може бути здійснено шляхом додавання одного виклику syslog()та перекомпіляції модуля PAM. (PAM - це те, що sudoвикористовується Ubuntu, і , звичайно, це стосується і веб-додатків, і всього іншого.)

Так, ні, зазвичай адміністратор не може бачити паролі, введені в системі, але якщо ви вводите свій пароль у системі, якій ви не довіряєте, вам слід, строго кажучи, вважати його втраченим та змінювати.

Взагалі кажучи, дуже мало програм в Unix ніколи не реєструють фактичні паролі в syslog або в іншому місці - майже ніколи немає вагомих причин для цього, і є поважні причини цього не робити.

Через те, як хешируються паролі, система не може визначити різницю між помилковим паролем і помилкою помилки - Якщо ваш пароль був% $ zDF + 02G і ви набрали% $ ZDF + 02G, він не вдасться вам настільки ж важко якби ви ввели "rubberbabybuggybumpers", але реєстрація невдалого пароля дала б цінну інформацію від зловмисного стороннього, що читає журнал.

Один випадок , я знайшов , де програма дійсно мають можливість увійти паролі (і випадок використання , де це було б гарною ідеєю) в серверах RADIUS, де ви можете в крайньому випадку включення додаткової інформації-чем-- ви, напевно, хотіли налагоджувати режим, а потім явно додайте прапор, що означає "так, включаючи паролі", оскільки у вас клієнт не вдається підключитися, і вам потрібно виключити абсолютно всі можливі причини ...