Vraag Is mijn wachtwoord aangetast omdat ik vergeten ben Enter na ssh-gebruikersnaam te raken?


Ik heb net geprobeerd om in te loggen op een Fedora (release 13 Goddard) server met behulp van SSH (PuTTY, Windows). Om een ​​of andere reden de invoeren na het typen ging mijn gebruikersnaam niet door en ik typte mijn wachtwoord in en druk opnieuw op Enter. Ik realiseerde me pas wanneer ik fout was de server begroette me met een gelukkig

myusername MIJN WACHTWOORD@ server.voorbeeld.com's wachtwoord:

Ik verbrak de verbinding op dit punt en veranderde mijn wachtwoord op die machine (via een aparte SSH-verbinding).

... nu is mijn vraag: Wordt zo'n mislukte aanmelding opgeslagen in platte tekst in een logbestand? Met andere woorden, heb ik net mijn (nu verouderde) wachtwoord voor de ogen van de externe beheerder geforceerd de volgende keer dat hij zijn logboeken scant?

Bijwerken 

Bedankt voor alle opmerkingen over de impliciete vraag 'wat te doen om dit in de toekomst te voorkomen'. Voor snelle, eenmalige verbindingen gebruik ik deze PuTTY-functie nu:

enter image description here

om de waar-was-het-opnieuw-optie "auto-login gebruikersnaam" te vervangen

enter image description here

Ik ga ook vaker ssh-sleutels gebruiken, zoals uitgelegd in de PuTTY-documenten.


142
2017-10-19 12:29


oorsprong


Dit is een heel goede vraag. Ik denk dat we allemaal op een bepaald moment toevallig gebruikersnaamPassword in een of andere service hebben getypt. Het is veel te gemakkelijk om te doen. - user606723
Nog een andere goede reden om het wachtwoord met redelijke regelmaat te veranderen. - Jonas
U kunt dit voorkomen door uw ssh-client te vertellen dat verbinding moet worden gemaakt met gebruikersnaam@server.example.com. Dan wordt u alleen om het wachtwoord gevraagd, waardoor een dergelijk ongeval onmogelijk wordt. Het zou echter nog beter zijn om gewoon publieke / private sleutels te gebruiken. - Kevin
@Iceman bedankt voor die tip - sinds ik wist dat PuTTY de gebruikersnaam hieronder verbergt Connection/Data/Login details/Auto-login username het is nooit bij me opgekomen dat het veld "Hostnaam (of IP-adres)" ook gebruikersnaam @ hostname kon accepteren als een juiste opdrachtregel ssh-client. - Jonas Heidelberg
Gebruik sleutelgebaseerde authenticatie. - Zoredache


antwoorden:


Kortom: ja.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

149
2017-10-19 12:35





Als ik me goed herinner, is het inderdaad geregistreerd in het log als het logniveau is ingesteld op DEBUG of TRACE.

EDIT: Het is bevestigd, ik probeerde in te loggen op mijn server en vond dit in mijn logs.

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Opmerking: IP's zijn verborgen


21
2017-10-19 12:31



Uw IP's zijn niet verborgen, ze zijn alleen gepost als Romeinse cijfers. - Bart Silverstrim
of krachttermen. - Sirex
of het is het mekka van tienerjongens op internet - het IP van porno. - deanWombourne


Of voor extra veiligheid en gemak, moet u echt overwegen SSH-sleutels in te stellen ...

# ssh-keyget -t rsa
(accepteer alle standaardwaarden)

en je krijgt ...

~ / .Ssh / id_rsa
~ / .Ssh / id_rsa.pub

Side-Note: je kunt je sleutelbestanden hernoemen als je ~ / .ssh / config toevoegt met zoiets als de volgende inhoud:

# cat ~ / .ssh / config
Host *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Kat de inhoud van uw publieke sleutel (zal een enkele regel zijn):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

Log nu in op het doelvak en plak die regel in ~ / .ssh / authorized_keys.

Kant-Opmerking: de pub-line eindigt in een voor mensen leesbare string zoals "ddopson @ hostname". U kunt dit wijzigen om meer beschrijvend te zijn voor de sleutel die u gebruikt (bijv. Als u veel toetsen hebt). Die string wordt NIET gebruikt als een onderdeel van authenticatie, en is alleen om de sleutel tot andere menselijke wezens te beschrijven.

Dat is het. Als u nu naar de host ssh stuurt, wordt u niet eens om een ​​wachtwoord gevraagd.

Als u zich zorgen maakt over het opslaan van uw persoonlijke sleutel (id_rsa), kunt u een wachtwoordzin aan de sleutel zelf toevoegen (zie ssh-keygen), zodat deze niet door iedereen kan worden gebruikt die toegang heeft tot uw bestanden. U kunt dan ssh-agent gebruiken om de sleutel te decoderen en deze veilig in het geheugen op te slaan, zodat deze kan worden gebruikt voor meerdere SSH-verbindingen.


10
2017-10-19 21:11



Ik had waarschijnlijk een windows-clients tag aan mijn vraag. Deze howto legt uit hoe je ssh-sleutels bruikbaar kunt maken met PuTTY. - Jonas Heidelberg
je kunt precies hetzelfde doen met PuTTY. U kunt sleutels toevoegen aan PuTTY of PuTTYgen gebruiken om de sleutels te genereren. Hetzelfde verhaal, verschillende opdrachten. (Ik denk dat het op het tabblad authenticatie van de params van de verbinding staat). - Dave Dopson


Het wachtwoord is gecodeerd bij verzending. Ja, het is mogelijk dat uw wachtwoord is gecompromitteerd omdat het is afgedrukt in het logboek op de doelserver. Ik zou echter ook willen zeggen dat elke keer dat u uw wachtwoord op uw computer invoert, dit in gevaar kan komen, omdat er mogelijk spyware-software op uw computer of een keylogger op uw computer is aangesloten.

Als u de enige beheerder van dat systeem bent en van mening bent dat dat systeem niet is aangetast, kunt u met relatieve zekerheid aannemen dat uw wachtwoord niet is aangetast, net zoals u normaal aanneemt dat er geen spyware op uw computer is, omdat u dat niet hebt gedaan was getuige van iets verdachts. U kunt het logboek op die server bewerken en de verwijzing naar uw wachtwoord verwijderen.

Dit incident is een reden waarom het gebruik van SSH-sleutels in plaats van wachtwoorden beter is. Dan, zelfs als iemand het wachtwoord krijgt dat u op uw computer invoert om de privésleutel op uw computer te decoderen, kunnen ze nog steeds geen toegang krijgen tot de externe server; ze hebben ook het bestand met de privésleutel zelf nodig. Bij beveiliging gaat het om lagen. Niets is perfect, maar als je genoeg lagen toevoegt, is het moeilijk genoeg dat de aanvaller gewoon verder gaat of je zult ze vangen omdat het meer tijd kost.

Ik zou het bovenstaande niet doen als uw wachtwoord zeer gevoelige informatie of kritieke bronnen beschermt. Het hangt ervan af hoe gevoelig uw wachtwoord is.


0
2017-10-19 22:00