SSH-비밀번호를 사용하여 여전히 로그인 한 사용자 식별

32

SSH에 대한 비밀번호 인증을 허용하는 Ubuntu Linux 서버가 있으며 SSH 키로 만 전환하고 비밀번호 로그인을 비활성화하고 싶습니다.

비밀번호 로그인을 비활성화하기 전에 아직 비밀번호를 사용중인 사용자와 키 인증으로 전환 한 사용자를 어떻게 알 수 있습니까?

ssh 
PeterB
소스
Btw. 많은 사람들이 모르지만 키 서버 측 암호를 요청할 수도 있습니다. 그렇게하면 좀 더
귀찮지
34
예고없이 비밀번호 로그인을 비활성화하고 비명을 지르는 사람 수를 확인하십시오.
Mark
19
tonysdg
@deviantfan 단순히 더 긴 키 파일을 요구하는 것이 더 안전 하지만 약간의 스크립팅이 필요합니다.
jpaugh
1
@deviantfan 나는 당신의 요점을 취합니다. 그러나 개인 키의 암호가 서버의 암호와 다르다고 가정합니다. (개인 키 파일 에 암호 있다고 가정합니다 .)
jpaugh

답변:

48

100 % 확실하게 수행 할 수는 없지만 두 가지 강력한 표시가 있습니다.

  • 첫째, .ssh/authorized_keys파일 의 존재 는 사용자가 최소한 키 기반 로그인을 사용할 준비가 된 힌트입니다.

  • 둘째, 인증 로그 파일 ( /var/log/secureCentOS, /var/log/auth.logDebian / Ubuntu)에서 인증 방법이 기록됩니다.

    Sep 28 13:44:28 hostname sshd[12084]: Accepted publickey for sven

    vs

    Sep 28 13:47:36 hostname sshd[12698]: Accepted password for sven

    누가 아직도 암호를 사용하는지 알아 보려면 언급 된 암호가있는 항목을 로그에서 스캔하십시오. 로그 보존 기간이 너무 길지 않으면 사용자가 거의 로그인하지 않아도됩니다.

스벤
소스
로그 파일을 '스캔'하면 grep 사용과 같은 합리적인 옵션을 의미한다고 생각합니까? grep 'password' /var/log/ssh/sshd.log
djsmiley2k-CoW
8
@ djsmiley2k : 그렇습니다. 또는 해당 작업에 선호하는 다른 방법.
Sven
첫 번째 방법 700은 사용자 .ssh디렉토리 에 대한 권한 및 마운트 된 홈 디렉토리에 대한 루트 스쿼시와 같은 적절한 보안 관행에 의해 방해받지 않습니까?
오우거 시편
1
@ OgrePsalm33 : NFS 서버 에서이 검색을 수행 할 수 있습니다 ...
Sven
1
@R .. : NFSv4 및 Kerberos (키 기반 로그인이 복잡한 경우)를 사용하여 NFS를 합리적으로 보호 할 수 있습니다. 그 이외의 것 : 예, 키 기반 로그인은 루트 스쿼시 된 NFS 홈 디렉토리 ~/.ssh로 설정되어 있을 때 아무런 문제없이 작동 700하므로 적어도 키 기반 인증을 위해 사용자 ID를 명확하게 전환해야 authorized_keys합니다.
Sven
19

가장 빠른 방법은 사용하지 않도록 설정하고 누가 사무실 문을 두드리는 지 확인하는 것입니다 .p

pete
소스
6
모든 사용자가 매일 로그인 할 수있는 것은 아니기 때문에 가장 빠른 방법은 아닙니다. 누군가 로그인했을 때 로그가 명확하게 표시되므로 즉각적인 결과를 얻을 수 있습니다
Ferrybig
3
가장 느린 방법입니다. 애플리케이션이 다운 된 경우에만 서버에 로그인합니다. 그렇게 되려면 몇 년이 걸릴 수 있습니다.
Navin
@pete 당신은 최고 :)입니다
c4f4t0r
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.