sudo : 3 번의 잘못된 비밀번호 시도-비밀번호를 일반 텍스트로 볼 수 있습니까?

19

일부 사용자가 일부 명령에 sudo3 번 액세스 할 수없는 경우 액세스 로그 \ 오류에서 루트 사용자에게보고해야합니다.

root는 이러한 시도 (예 : 비밀번호 시도)를 로그의 텍스트로 볼 수 있습니까?

sudo password security

— 성숙한
소스

4

암시 적 가정 : 뿌리는 악하지 않다. 로그인하려고 할 때 루트가 이미 악한 경우 모든 베팅이 해제됩니다.

— Joshua

대부분의 시스템에서 무언가를 구성하는 것은 쉽지 않지만 내가 아는 기본 구성의 일부는 아닙니다.

— PlasmaHH

2

의무적 인 xkcd xkcd.com/838

— Joe

잘못된 시도 횟수 만 루트로보고됩니다. 루트는 입력 비밀번호를 전혀 볼 수 없습니다.

— Mohammad Kholghi

37

아니요, 비밀번호는 기본적으로 기록되지 않습니다. 다른 관리자가 로그를 읽을 수 있으므로 암호가 약간 잘못 입력 된 경우 사용자를 가장 할 수 있으므로 보안 문제가됩니다.

— 비달로
소스

28

로그인 시도 성공 및 실패

/var/log/auth.log

성공적인 시도의 예 :

Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

그리고 실패 :

Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

실패한 시도를 기록하고 잘못 입력 한 총 3 개의 암호도 기록합니다.

sudo시도 암호 는 표시되거나 저장되지 않습니다.

— 린츠 윈드
소스

4

비밀번호가 기록되는 유일한 방법은 일반적으로 사용자 이름 다음에 Enter 키를 누르지 않은 경우입니다. 따라서 비밀번호가 Tiger 인 사용자 Scott 대신 "Scott Tiger"로 로그인합니다.

— Lenne

그러나 그것은 sudo의 잘못이 아니다 ;-)

— Rinzwind

@Lenne 그것이 나에게 일어날 때 (또는 그렇지 않으면 명령 대신 암호를 마음대로 입력하지 않을 때) 쉘 기록에서 문제가되는 줄을 삭제합니다.

— 잔나

4

일반적인 방법은 문제의 암호가 유효하지 않더라도 로그인 시도에 사용 된 암호를 기록하지 않는 것입니다. 이는 단순히 동일한 시스템의 다른 사용자에게 암호가 유효하거나 (예 : 사용자 가 암호가 아닌 사용자 이름을 잘못 입력 한 경우) 실제 암호를 사소하게 변경 한 것일 수 있기 때문입니다 (사용자가 문자를 놓친 식 등).

이러한 경우 중 하나는 시스템에 일반 텍스트 암호를 남겨두고 일부 정보 유출에 취약합니다. (비밀번호는 입력 한 것과 다른 시스템에 유효한 비밀번호 일 수도 있지만 실제로는 "us"가 아니라 "them"에 대한 문제입니다.)

이와 관련하여 사용자가 사용자 이름 대신 암호를 작성하는 경우가 있습니다 (예 : 일반적으로 사용자 이름을 자동으로 입력하지만 현재는 입력하지 않았지만 여전히 첫 번째로 암호를 입력 한 시스템을 사용함). 이 경우 로그에 일반 텍스트 비밀번호가 있습니다. 이것은 최적은 아니지만 일반적인 로그인 시도 실패에 대한 사용자 이름을 보는 것이 유용하며 사용자 이름으로 입력 한 비밀번호는 저장하지 않는 간단한 솔루션이 없습니다.

즉, 시스템 관리자가 시스템에 비밀번호를 기록하지 않도록 막을 방법은 없습니다. syslog()PAM 모듈에 한 번의 호출을 추가 하고 다시 컴파일 하여 로깅을 추가 할 수 있습니다 . (PAM은 Ubuntu 및 sudo사용 대상이지만 웹 응용 프로그램 및 기타 모든 항목에도 동일하게 적용됩니다.)

그래서, 아니, 일반적으로 관리자가 시스템에 입력 한 암호를 볼 수 없습니다, 하지만 당신이 시스템에 암호를 입력하면 신뢰하지 않는, 당신은, 엄밀히 말하면, 분실 고려하고이를 변경해야합니다.

— 일 카추
소스

0

더 일반적으로 말하면, 아주 그렇게 할 좋은 이유가 거의 결코, 및 양호한 이유가 있습니다 - 유닉스에서 몇 가지 프로그램은 지금까지 시스템 로그에 또는 다른 곳에서 실제 암호를 기록 하지 하려면.

비밀번호가 해시되는 방식으로 인해 시스템에서 잘못된 비밀번호와 오타의 차이점을 알 수 없습니다. 비밀번호가 % $ zDF + 02G이고 % $ ZDF + 02G를 입력 한 경우 비밀번호가 제대로 입력되지 않는 경우 'rubberbabybuggybumpers'를 입력했지만 실패한 암호를 기록하면 악의적 인 제 3자가 로그를 읽는 귀중한 정보를 얻을 수 있습니다.

프로그램이 어디에 내가 찾은 한 케이스 했던 암호를 기록 할 수있는 기능 (그 좋은 아이디어를 것 사용 사례)가이 RADIUS 서버에 어디 수에 핀치 스위치에 대한 자세한 정보-than- 아마도 디버그 모드를 원할 때 클라이언트가 연결에 실패하고 가능한 모든 원인을 완전히 배제해야하기 때문에 '암호를 포함하여 예'라는 플래그를 명시 적으로 추가하십시오 ...

— 샤 두르
소스