sudo：3回の不正なパスワード試行-rootはパスワードをクリアテキストで見ることができますか？

ログイン試行の成功と失敗はログインします

/var/log/auth.log

成功した試行の例：

Oct 23 21:24:01 schijfwereld Sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld Sudo: pam_unix(Sudo:session): session opened for user root by (uid=0)

そして失敗しました：

Oct 23 21:25:33 schijfwereld Sudo: pam_unix(Sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld Sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

失敗した試行を記録し、誤って入力された合計3つのパスワードも記録します。

Sudo試行のパスワードは表示または保存されません。

通常の方法は、問題のパスワードが無効であっても、ログイン試行で使用されるパスワードを記録しないことです。これは、パスワードが同じシステム上の別のユーザーに対して有効である可能性があるためです（たとえば、ユーザーがパスワードではなくusernameを誤って入力した）、または実際のパスワードの些細な変更（ユーザーが文字を逃したなど）。

いずれの場合も、システム上に平文のパスワードが置かれたままになり、一部の情報漏洩に対して脆弱になります。 （パスワードは、入力されたシステム以外のシステムにとっても有効なパスワードである可能性がありますが、それは実際には「私たち」ではなく「彼ら」にとってより大きな問題です。）

これに多少関連するのは、ユーザーがユーザー名の代わりにパスワードを書き込む場合です（たとえば、通常はユーザー名を自動的に入力するシステムを使用しますが、現在は使用しませんが、最初にパスワードを入力します）。その場合、ログにプレーンテキストのパスワードが含まれます。これは最適ではありませんが、通常の失敗したログイン試行のユーザー名を確認することは有用であり、ユーザー名として入力されたパスワードではなく、それらを保存する簡単な解決策はありません。

とは言っても、システムの管理者がシステムにパスワードを記録させることを止めるものは何もありません。 syslog()への呼び出しを1つ追加し、PAMモジュールを再コンパイルすることで、おそらくロギングを追加できます。 （PAMはUbuntuとSudoが使用するものですが、もちろんWebアプリやその他すべてにも同じことが当てはまります。）

そのため、いいえ、通常、管理者はシステムに入力されたパスワードを見ることができません。but信頼できないシステムにパスワードを入力した場合、厳密に言えば、それが失われ、それを変更。

より一般的に言えば、very UNIXのいくつかのプログラムは、実際のパスワードをsyslogや他の場所に記録します-正当な理由はほとんどありませんし、正当な理由がありますnotに。

パスワードがハッシュされる方法のため、システムは間違ったパスワードとタイプミスの違いを見分けることができません-パスワードが％$ zDF + 02Gで、％$ ZDF + 02Gを入力した場合、あなたはそれと同じくらいあなたを失敗させます「rubberbabybuggybumpers」と入力したが、失敗したパスワードを記録すると、ログを読み取る悪意のある第三者にvaluable情報が提供されます。

プログラムdidがパスワードをログに記録する機能を備えているケース（および、それが良いアイデアとなるユースケース）は、RADIUSサーバーにあります。必要以上に情報が必要なデバッグモードをピンチスイッチして、「はい、含むパスワード」を意味するフラグを明示的に追加することができます。接続すると、考えられるすべての原因を完全に除外する必要があります...