Que peut-on apprendre sur un utilisateur d'une tentative d'échec de SSH?
Que peut-on apprendre sur un "utilisateur" d'une tentative de SSH malveillante défaillante?
- Nom d'utilisateur entré (
/var/log/secure) - Mot de passe saisi (si configuré, c'est-à-dire à l'aide d'un module PAM)
- Adresse IP source (
/var/log/secure)
Existe-t-il des méthodes d'extraction de rien d'autre? Que ce soit des informations cachées dans les fichiers journaux, des astuces aléatoires ou des outils tiers, etc.
Eh bien, un article que vous n'avez pas mentionné est les empreintes digitales des clés privées qu'ils ont essayées avant d'entrer un mot de passe. Avec openssh, si vous définissez LogLevel VERBOSE dans /etc/sshd_config, vous les obtenez dans les fichiers journaux. Vous pouvez les vérifier contre la collection de clés publiques que vos utilisateurs ont autorisé dans leurs profils, de voir s'ils ont été compromis. Dans le cas où un attaquant a reçu la clé privée d'un utilisateur et recherche le nom de connexion, sachant que la clé est compromise pourrait empêcher l'intrusion. Certes, c'est rare: Qui possède une clé privée a probablement découvert que le nom de connexion ...
Aller un peu plus loin dans le LogLevel DEBUG, vous pouvez également trouver le logiciel client/la version au format
Client protocol version %d.%d; client software version %.100s
Il imprimera également l'échange clé, les chiffres, les Mac et les méthodes de compression disponibles au cours de l'échange de clé.
Si les tentatives de connexion sont très fréquentes ou se produisent à toutes les heures de la journée, vous pouvez alors soupçonner que la connexion est effectuée par un bot.
Vous pourriez être en mesure de déduire les habitudes de l'utilisateur à partir de l'heure de la journée qu'ils se connectent ou d'une autre activité sur le serveur, c'est-à-dire que les connexions sont toujours n secondes après un Apache Hit de la même adresse IP ou d'une demande POP3, ou d'un git. tirer.