Linux
從失敗的 SSH 嘗試中可以了解使用者的哪些資訊?
從失敗的惡意 SSH 嘗試中可以了解到關於“使用者”的哪些資訊?
- 輸入的使用者名 (
/var/log/secure
)- 輸入密碼(如果已配置,即使用 PAM 模組)
- 源 IP 地址 (
/var/log/secure
)有沒有其他提取方法?無論是隱藏在日誌文件中的資訊、隨機技巧還是來自 3rd 方工具等。
嗯,你沒有提到的一個項目是他們在輸入密碼之前嘗試過的私鑰的指紋。使用
openssh
,如果您設置LogLevel VERBOSE
,/etc/sshd_config
您可以在日誌文件中獲取它們。您可以根據您的使用者在其個人資料中授權的公鑰集合來檢查它們,以查看它們是否已被洩露。如果攻擊者掌握了使用者的私鑰並正在尋找登錄名,知道密鑰已洩露可以防止入侵。誠然,這種情況很少見:擁有私鑰的人可能也發現了登錄名……