Что можно узнать о пользователе из неудачная попытка SSH?
Что можно узнать о «пользователе» в результате неудачной попытки злонамеренного SSH?
- Введено имя пользователя (
/ var / log / secure) - Введен пароль (если настроен, например, с использованием модуля PAM)
- IP-адрес источника (
/ var / log / secure)
Существуют ли какие-либо другие методы извлечения чего-либо? это информация, скрытая в файлах журнала, случайных уловках или сторонних инструментах и т. д.
Ну, пункт, о котором вы не упомянули, это отпечатки пальцев закрытых ключей, которые они пытались использовать перед вводом пароля. С помощью openssh, если вы установите LogLevel VERBOSE в /etc/sshd_config, вы получите их в лог-файлы. Вы можете сверить их с коллекцией открытых ключей, которые ваши пользователи авторизовали в своих профилях, чтобы проверить, не были ли они скомпрометированы. В случае, если злоумышленник завладел личным ключом пользователя и ищет имя пользователя, знание того, что ключ скомпрометирован, может предотвратить вторжение. Правда, это редкость: кто владеет личным ключом, скорее всего, тоже узнал имя пользователя...
Немного углубившись в DEBUG уровня журнала, вы также можете узнать клиентское программное обеспечение/версию в формате
Client protocol version %d.%d; client software version %.100s
Оно также распечатает обмен ключами, шифры, MACs и методы сжатия, доступные во время обмена ключами.
.Если попытки входа очень часты или происходят в любое время суток, то вы можете заподозрить, что вход в систему выполняется ботом.
Вы можете вывести привычки пользователя из времени суток, когда он входит в систему, или из другой активности на сервере, т.е. вход всегда происходит через N секунд после удара Apache с того же самого IP-адреса, или POP3-запроса, или git-тяжки.
.