Konfigurasjon av SSHD

[mikis]

Har satt opp SSHD på Fedora Core 4 med følgende konfigurasjon (utdrag):

PermitRootLogin no
AllowUsers mikis
SyslogFacility AUTH
LogLevel VERBOSE

 

Når jeg kjører:

more /var/log/messages | grep sshd

 

Får jeg noe slikt:

Oct 10 13:39:09 rhodos sshd[22074]: Connection from 127.0.0.1 port 58317
Oct 10 13:39:09 rhodos sshd[22074]: Invalid user nils from 127.0.0.1
Oct 10 13:39:13 rhodos sshd(pam_unix)[22074]: check pass; user unknown
Oct 10 13:39:13 rhodos sshd(pam_unix)[22074]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost.localdomain
Oct 10 13:39:15 rhodos sshd[22074]: Failed password for invalid user nils from 127.0.0.1 port 58317 ssh2
Oct 10 13:39:20 rhodos sshd(pam_unix)[22074]: check pass; user unknown

 

Dette er bare jeg som har testet med andre brukernavn og passord. Hvis dette hadde vært en uvedkommende, skulle jeg gjerne visst hva slags passord som ble brukt. Jeg vet det skal være mulig å se dette i en logg, men jeg vet ikke hvordan. Ser jeg i feil logg, eller må jeg endre LogLevel?

 

Noen forslag?

[Gjest Slettet+432]

Såvidt jeg vet er ikke dette mulig, men det er jo ikke mye jeg vet heheh.

[objorkum]

Har aldri høyrd om slikt nei...

[mikis]

Joda, det er mulig med logwatch

 

Da kan man produsere logger fra SSH-aktivitet slik:

Failed logins from these:
admin/password from 200.181.46.200: 2 Time(s)
guest/password from 200.181.46.200: 1 Time(s)
guest/password from 200.206.182.38: 1 Time(s)
root/password from 200.181.46.200: 3 Time(s)
test/password from 200.181.46.200: 2 Time(s)
test/password from 200.206.182.38: 1 Time(s)
user/password from 200.181.46.200: 1 Time(s)

[objorkum]

Joda, det er mulig med logwatch

 

Da kan man produsere logger fra SSH-aktivitet slik:

Failed logins from these:
admin/password from 200.181.46.200: 2 Time(s)
guest/password from 200.181.46.200: 1 Time(s)
guest/password from 200.206.182.38: 1 Time(s)
root/password from 200.181.46.200: 3 Time(s)
test/password from 200.181.46.200: 2 Time(s)
test/password from 200.206.182.38: 1 Time(s)
user/password from 200.181.46.200: 1 Time(s)

At ein får opp kva passord som er brukt?

[Gjest Slettet+432]

Ser ut som det står slik: brukernavn/passord som er forsøkt, hvis du skjønner.

[mikis]

Beklager, jeg var litt for kjapp på avtrekkeren

[xeon]

Nei.. Du vil ikke se passordet.. Da må du sannsynligvis inn og se på kildekoden, men jeg skjønner ikke hvorfor du absolutt vil lagre masse passord i tekst-filer og mail rundt omkring på maskin din.. Hva du om skriver feil brukernavn engang? Da kommer du til å få tilsendt miksi/passord..

 

Og ugyldige passord har vel strengt tatt veldig liten nytteverdi?

[mikis]

La oss si noen uvedkommende forsøker å logge seg inn på maskinen din via SSH. Synes du det er unyttig å se hva slags passord denne personen bruker?

Selv om du lager paranoide passord har man jo mer kontroll når man vet hvordan denne personen tenker.

[xeon]

La oss si noen uvedkommende forsøker å logge seg inn på maskinen din via SSH. Synes du det er unyttig å se hva slags passord denne personen bruker?

Selv om du lager paranoide passord har man jo mer kontroll når man vet hvordan denne personen tenker.

Ja.

 

Hvis du lager paranoide passord kommer ikke den som forsøker å logge inn til å være i nærheten engang.. Sannsynligvis er det tilfeldig genererte passord eller brukernavn/brukernavn{1,34} etc..