私はUbuntuServerを使用していますが、潜在的な攻撃者が試したユーザー名とパスワードをログに記録できるかどうか知りたいです。
Grepできます/var/log/auth.log
失敗したすべての試行を確認しますが、試行しているユーザー名とパスワードを確認したいと思います。
sshd_config
¹でログの詳細度を上げた後、失敗したユーザー名を視覚化できますが、失敗したパスワードを確認する方法はありません。これは潜在的なセキュリティ問題であり、ユーザーのプライバシーを侵害する可能性があるためです(たとえば、パスワードを誤って入力すると、ログファイルにリークされる可能性があります)。
すべてのパスワードは非常に機密性の高いデータとして処理され、メモリにのみ保存され、ログに書き込まれることはないため、セキュリティコンテキストから漏洩することはありません。
これを行うには、標準の製品セキュリティ製品ではなく、このユースケース用に特別に作成されたハニーポットを使用する必要があります。
¹詳細については、man sshd_config
を参照してください
これが行われない理由は、IS行われたサイトで何が起こり得るかを調べることで、簡単に明らかになります。
かつて、不正なパスワードをログに記録したサイトのパスワードハッシュ強度を改善する必要がありました(これがどのような理由で行われたかは想像できません)。ユーザーの不便を最小限に抑えるために、最初はログイン時にユーザーを自動変換しましたが、しばらくログインしていないユーザーも保護を強化する必要があるため、推測されたすべてのパスワードをより高いハッシュ標準に変換して、ユーザーをクラックしてみました。
Facebookのような大規模なリークからの既知のパスワードリストや、多くの言語や順列などの辞書を1週間試した後、ログインしていない人の約4,000個のパスワードが残っていました。亀裂。
私は過去数年間、不正なパスワードログを取得し、それらのパスワードを解読不可能なパスワードに対して使用し、解読しました残りの4分の1。つまり、複数の管理者アカウントを含む、システム内の本当に難しいパスワードの4分の1を推測したため、4,000ユーザーではなく3,000ユーザーのパスワードをリセットするだけで済みました。
したがって、悪意のある攻撃者にとって、そのようなログの価値は誇張することはできないと思います。
失敗したパスワードをログに記録する正当で正当な理由はありません。ログに記録しない理由はすべてあります。データが漏洩した場合は、大量のユーザーのログイン情報が明らかになります。これらの「不正なパスワード」は、元に戻したパスワード、システムの他のアカウントで使用したパスワード、または他のシステム(銀行、電子メールなど)で使用したパスワードになります。
このようなログを保持することで、セキュリティ上の実際の利点がないユーザーを危険にさらしています。