실패한 SSH 시도에서 사용자에 대해 무엇을 배울 수 있습니까?


24

실패한 악의적 인 SSH 시도에서 '사용자'에 대해 무엇을 배울 수 있습니까?

  • 입력 한 사용자 이름 ( /var/log/secure)
  • 비밀번호 입력 (구성된 경우, 즉 PAM 모듈을 사용하여)
  • 소스 IP 주소 ( /var/log/secure)

다른 것을 추출하는 방법이 있습니까? 정보가 로그 파일, 임의의 트릭 또는 타사 도구 등에서 숨겨져 있는지 여부


실패한 암호 시도를 기록하기 위해 PAM 모듈을 활성화해서는 안됩니다. 그런 다음 실패한 로그인 시도 (오타 등으로 인해)를보고 다른 사람의 비밀번호를 간단하게 해결할 수 있습니다.
Muzer

답변:


27

글쎄, 당신이 언급하지 않은 항목은 암호를 입력하기 전에 시도한 개인 키의 지문입니다. 로 openssh설정 한 경우 LogLevel VERBOSE/etc/sshd_config, 당신은 그들을 로그 파일에서 얻을. 사용자가 자신의 프로필에서 승인 한 공개 키 수집과 비교하여 손상되지 않았는지 확인할 수 있습니다. 침입자가 사용자의 개인 키를 잡고 로그인 이름을 찾는 경우 키가 손상되었음을 알면 침입을 막을 수 있습니다. 분명히 드문 일입니다. 개인 키를 소유 한 사람이 아마도 로그인 이름을 찾은 것 같습니다 ...


17

로 조금 더 나아가서 LogLevel DEBUG클라이언트 소프트웨어 / 버전을 형식으로 찾을 수도 있습니다.

Client protocol version %d.%d; client software version %.100s

또한 키 교환 중에 사용 가능한 키 교환, 암호, MAC 및 압축 방법을 인쇄합니다.


6

로그인 시도가 자주 또는 하루 종일 발생하면 봇이 로그인을 수행 한 것으로 의심 될 수 있습니다.

사용자가 로그인 한 시간이나 서버의 다른 활동에서 사용자의 습관을 추론 할 수 있습니다. 즉, 동일한 IP 주소 또는 POP3 요청 또는 git에서 Apache가 히트 한 후 로그인은 항상 N 초입니다. 손잡이.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.