Je regardais mon clavier et j'ai tapé mon mot de passe parce que je pensais avoir déjà tapé mon nom de connexion. J'ai pressé Enter, puis quand il a demandé le mot de passe, j'ai appuyé Ctrl+c.
Dois-je prendre des mesures de précaution pour m'assurer que le mot de passe n'est pas stocké en texte brut quelque part ou dois-je changer le mot de passe?
C'était également sur un tty sur le serveur Ubuntu 16.04 LTS.
Le problème est de savoir si votre mot de passe est enregistré dans le journal d'authentification.
Si vous vous connectez sur une console texte sous Linux, et vous avez appuyé sur Ctrl+C à l'invite de mot de passe, aucune entrée de journal n'est générée. Du moins, cela est vrai pour Ubuntu 14.04 ou Debian Jessie avec SysVinit, et probablement pour d'autres distributions Linux; Je n'ai pas vérifié si c'est toujours le cas sur un système avec Systemd. Pressage Ctrl+C tue le processus login
avant de générer une entrée de journal. Alors vous êtes en sécurité.
D'un autre côté, si vous avez réellement tenté de vous connecter, ce qui se produit si vous appuyez sur Enter ou Ctrl+D à l'invite de mot de passe, le nom d'utilisateur que vous avez entré apparaît en texte brut dans les journaux d'authentification. Tous les échecs de connexion sont enregistrés; l'entrée de journal contient le nom du compte, mais ne contient jamais rien sur le mot de passe (juste le fait que le mot de passe était incorrect).
Vous pouvez vérifier en consultant les journaux d'authentification. Sur Ubuntu 14.04 ou Debian Jessie avec SysVinit, les journaux d'authentification sont dans /var/log/auth.log
.
S'il s'agit d'une machine sous votre contrôle exclusif, et qu'elle ne se connecte pas à distance, et que le fichier journal n'a pas encore été sauvegardé, et que vous êtes prêt et capable de modifier le fichier journal sans casser quoi que ce soit, puis modifiez le journal pour supprimer le mot de passe.
Si votre mot de passe est enregistré dans les journaux système, vous devez le considérer comme compromis et vous devez le modifier. Les journaux peuvent fuir pour toutes sortes de raisons: sauvegardes, demandes d'assistance… Même si vous êtes le seul utilisateur sur cette machine, ne le risquez pas.
Remarque: je n'ai pas vérifié si Ubuntu 16.04 fonctionne différemment. Cette réponse peut ne pas être généralisable à toutes les variantes Unix et n'est certainement pas généralisable à toutes les méthodes de connexion. Par exemple, OpenSSH enregistre le nom d'utilisateur même si vous appuyez sur Ctrl+C à l'invite de mot de passe (avant qu'il affiche l'invite de mot de passe, en fait).
Dans votre cas, vous êtes en sécurité - vous avez tapé un mot de passe et vous l'avez annulé. Un mot de passe tapé dans l'invite de connexion suivi d'un mot de passe erroné sera considéré comme une échec d'authentification et est partiellement enregistré dans le journal btmp
. Pour la console tty
, c'est bien.
$ Sudo lastb
[Sudo] password for xieerqi:
UNKNOWN tty1 Mon Apr 25 22:14 - 22:14 (00:00)
Le mot de passe tapé "accidentellement" a été enregistré comme UNKNOWN
, donc tout va bien ici. Cependant, les authentifications ayant échoué sur l'écran de connexion de l'interface graphique affichent les entrées de connexion ayant échoué sans être masquées
$ Sudo lastb
[Sudo] password for xieerqi:
hellowor :1 :1 Mon Apr 25 22:17 - 22:17 (00:00)
UNKNOWN tty1 Mon Apr 25 22:14 - 22:14 (00:00)
Y a-t-il quelque chose de bon à ce sujet? Bien . . . L'attaquant devrait avoir accès à votre système en premier lieu, encore plus - il/elle devrait avoir un accès root pour lire le journal btmp
. Ce qui signifie également pour un ordinateur à utilisateur unique - cela équivaut à avoir déjà volé votre mot de passe, de sorte que l'entrée n'est de toute façon d'aucune utilité pour l'attaquant s'il connaît votre mot de passe. Le mot de passe dans l'entrée, vous pouvez déjà en déduire, n'a été que partiellement enregistré, mais cela donne un avantage assez juste à un attaquant, donc il n'y a rien de bon à propos de cette partie
Devriez-vous changer le mot de passe? Probablement, juste pour être sûr à 100%. D'un autre côté, un attaquant devrait avoir accès à votre journal btmp
, ce qui équivaut à avoir accès à /etc/shadow
, donc il n'y a pas vraiment d'avantage.
Note latérale: Toutes les sorties de mon Ubuntu 14.04