Linux

從失敗的 SSH 嘗試中可以了解使用者的哪些資訊?

  • March 6, 2017

從失敗的惡意 SSH 嘗試中可以了解到關於“使用者”的哪些資訊?

  • 輸入的使用者名 ( /var/log/secure)
  • 輸入密碼(如果已配置,即使用 PAM 模組)
  • 源 IP 地址 ( /var/log/secure)

有沒有其他提取方法?無論是隱藏在日誌文件中的資訊、隨機技巧還是來自 3rd 方工具等。

嗯,你沒有提到的一個項目是他們在輸入密碼之前嘗試過的私鑰的指紋。使用openssh,如果您設置LogLevel VERBOSE/etc/sshd_config您可以在日誌文件中獲取它們。您可以根據您的使用者在其個人資料中授權的公鑰集合來檢查它們,以查看它們是否已被洩露。如果攻擊者掌握了使用者的私鑰並正在尋找登錄名,知道密鑰已洩露可以防止入侵。誠然,這種情況很少見:擁有私鑰的人可能也發現了登錄名……

引用自:https://serverfault.com/questions/836376

相關問答

Linux

為每個使用者在下次 SSH 登錄時強制執行 2FA 配置

  • February 14, 2022
檢視問答
Linux

是否可以讓 OpenSSH 記錄身份驗證中使用的公鑰?

  • September 7, 2021
檢視問答
Linux

使用 ssh 代理轉發和 libpam-ssh 無需密碼即可連接到伺服器上的特定使用者

  • February 26, 2020
檢視問答
Linux

如何自動創建使用者帳戶(SSH + LDAP)

  • May 10, 2019
檢視問答
Linux

SSH登錄時選擇第二個因素

  • April 26, 2019
檢視問答
Linux

區分來自 NAT 後面不同來源的 ssh 連接

  • April 6, 2019
檢視問答