Мой пароль скомпрометирован, потому что я забыл нажать Enter после имени пользователя ssh?

Я только что попробовал войти в сервер Fedora (выпуск 13 Goddard), используя SSH (PuTTY, Windows). По какой-то причине Enter после ввода моего имени пользователя не прошел, и я ввел свой пароль и снова нажал Enter. Я только осознал свою ошибку, когда сервер приветствовал меня счастливым

  

myusername Пароль MYPASSWORD @ server.example.com:

В этот момент я отключил соединение и сменил пароль на этом компьютере (через отдельное соединение SSH).

... теперь мой вопрос: Является ли такой сбойный логин, хранящийся в обычном тексте в любом файле журнала? . Другими словами, я только что заставил мой (теперь устаревший) пароль перед глаза удаленного администратора в следующий раз, когда он сканирует свои журналы?

Обновить

Спасибо за все комментарии о предполагаемом вопросе «что делать, чтобы предотвратить это в будущем». Для быстрых одноразовых подключений теперь я буду использовать эту функцию PuTTY:

введите описание изображения здесь>> </p>

<p>, чтобы заменить опцию «автозапуск с именем пользователя», где он был снова, </p>

<p> <img src = в документах PuTTY .

140 голосов | спросил Jonas Heidelberg 19 +04002011-10-19T16:29:05+04:00312011bEurope/MoscowWed, 19 Oct 2011 16:29:05 +0400 2011, 16:29:05

4 ответа


149

Короче: да.

  # ssh 192.168.1.1 -l "myuser mypassword"
^ C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd [19787]: Неверный пользователь myuser mypassword от 192.168.111.78
Oct 19 14:33:58 host sshd [19787]: Ошибка для неверного пользователя myuser mypassword из 192.168.111.78 порт 53030 ssh2
 
ответил the-wabbit 19 +04002011-10-19T16:35:32+04:00312011bEurope/MoscowWed, 19 Oct 2011 16:35:32 +0400 2011, 16:35:32
21

Если я хорошо помню, он действительно зарегистрирован в журнале, если уровень журнала установлен в DEBUG или TRACE.

EDIT: подтверждено, я попытался войти в мой сервер и нашел это в своих журналах.

  Oct 19 14:34:24 sd-xxxx sshd [26563]: pam_unix (sshd: auth): ошибка аутентификации; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = xxx-xxx-xxx-xxx.rev.numericable.fr
Oct 19 14:34:26 sd-xxxx sshd [26563]: сбой пароля для неверного пользователя toto из порта xxx.xxx.xxx.xxx 56685 ssh2
 

Примечание: IP-адреса скрыты

ответил Zenklys 19 +04002011-10-19T16:31:57+04:00312011bEurope/MoscowWed, 19 Oct 2011 16:31:57 +0400 2011, 16:31:57
10

Или для дополнительной безопасности и удобства вы должны действительно рассмотреть возможность настройки SSH-ключей ...

 # ssh-keyget -t rsa
(принять все значения по умолчанию)

и вы получите ...

~ /.ssh /id_rsa
~ /.ssh /id_rsa.pub

Боковое примечание: вы можете переименовать ваши файлы ключей, если вы добавили ~ /.ssh /config с чем-то вроде следующего содержимого:

 # cat ~ /.ssh /config
Хост *
IdentityFile ~ /.ssh /ddopson_employer_id_rsa

Введите содержимое вашего открытого ключа (будет одной строкой):

 # cat ~ /.ssh /id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname 

Теперь войдите в целевое поле и вставьте эту строку в ~ /.ssh /authorized_keys.

Боковое примечание: строка pubkey заканчивается в читаемой пользователем строке, такой как «ddopson @ hostname». Вы можете изменить это, чтобы описать ключ, который вы используете (например, если у вас много ключей). Эта строка НЕ ​​используется как часть аутентификации и предназначена только для описания ключа для других людей.

Вот и все. Теперь, когда вы ssh на хост, вам даже не будет предложено ввести пароль.

Если вы беспокоитесь о сохранении своего закрытого ключа (id_rsa), вы можете добавить кодовую фразу самому ключу (см. ssh-keygen), защищая его от использования всеми, кто имеет доступ к вашим файлам. Затем вы можете использовать ssh-agent для дешифрования ключа и безопасного хранения его в памяти, чтобы его можно было использовать для нескольких соединений SSH.

ответил Dave Dopson 20 +04002011-10-20T01:11:01+04:00312011bEurope/MoscowThu, 20 Oct 2011 01:11:01 +0400 2011, 01:11:01
0

Пароль был зашифрован при передаче. Да, возможно, что ваш пароль был скомпрометирован, потому что он был напечатан в журнале на целевом сервере. Тем не менее, я бы также сказал, что каждый раз, когда вы вводите свой пароль на свой компьютер, он может быть скомпрометирован, поскольку на вашем компьютере может быть шпионское ПО или кейлоггер, подключенный к вашему компьютеру.

Если вы единственный администратор этой системы, и вы считаете, что эта система не была скомпрометирована, вы можете с относительной уверенностью предположить, что ваш пароль не был скомпрометирован, как вы обычно предполагаете, что на вашем компьютере нет программ-шпионов, потому что вы не видели ничего подозрительного. Вы можете отредактировать журнал на этом сервере и удалить ссылку на свой пароль.

Этот инцидент является одной из причин, почему лучше использовать SSH-ключи вместо паролей. Затем, даже если кто-то получит пароль, который вы вводите на свой компьютер для дешифрования закрытого ключа на вашем компьютере, он все равно не сможет получить доступ к удаленному серверу; им также нужен сам файл личного ключа. Безопасность - это все слои. Ничто не идеально, но если вы добавите достаточное количество слоев, достаточно будет достаточно, чтобы атакующий просто двигался, или вы их поймаете, потому что требуется больше времени.

Я бы не сделал этого, если ваш пароль защищает очень чувствительную информацию или критические ресурсы. Это зависит от того, насколько чувствителен ваш пароль.

ответил sjbotha 20 +04002011-10-20T02:00:42+04:00312011bEurope/MoscowThu, 20 Oct 2011 02:00:42 +0400 2011, 02:00:42

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132