SSH試行の失敗からユーザーについて何を知ることができますか?
悪意のあるSSH試行の失敗から「ユーザー」について何を知ることができますか?
- 入力されたユーザー名(
/var/log/secure) - 入力されたパスワード(構成されている場合、つまりPAMモジュールを使用した場合)
- 送信元IPアドレス(
/var/log/secure)
他に何かを抽出する方法はありますか?ログファイルに隠された情報、ランダムなトリック、またはサードパーティのツールなどからのものかどうか。
さて、あなたが言及していない項目は、パスワードを入力する前に彼らが試した秘密鍵の指紋です。 opensshでは、LogLevel VERBOSE/etc/sshd_config、ログファイルで取得します。ユーザーが自分のプロファイルで承認した公開鍵のコレクションと照合して、侵害されていないかどうかを確認できます。攻撃者がユーザーの秘密鍵を入手してログイン名を探している場合、鍵が危険にさらされていることを知ることで侵入を防ぐことができます。確かに、それはまれです:秘密鍵を所有している人がおそらくログイン名も知っているでしょう...
LogLevel DEBUGに少し入ると、クライアントソフトウェア/バージョンを形式で確認することもできます
Client protocol version %d.%d; client software version %.100s
また、鍵交換中に使用可能な鍵交換、暗号、MAC、および圧縮方法も出力します。
ログインの試行が非常に頻繁であるか、1日中いつでも発生している場合は、ログインがボットによって実行されていることが疑われます。
ログインした時刻やサーバーでの他のアクティビティからユーザーの習慣を推測できる場合があります。つまり、ログインは、同じIPアドレス、POP3リクエスト、またはgitからのApacheヒットから常にN秒です。引く。