web-dev-qa-db-ja.com

Linux-試行されたユーザー名とパスワードをログに記録する

私はUbuntuServerを使用していますが、潜在的な攻撃者が試したユーザー名とパスワードをログに記録できるかどうか知りたいです。

Grepできます/var/log/auth.log失敗したすべての試行を確認しますが、試行しているユーザー名とパスワードを確認したいと思います。

4
stef

sshd_config¹でログの詳細度を上げた後、失敗したユーザー名を視覚化できますが、失敗したパスワードを確認する方法はありません。これは潜在的なセキュリティ問題であり、ユーザーのプライバシーを侵害する可能性があるためです(たとえば、パスワードを誤って入力すると、ログファイルにリークされる可能性があります)。

すべてのパスワードは非常に機密性の高いデータとして処理され、メモリにのみ保存され、ログに書き込まれることはないため、セキュリティコンテキストから漏洩することはありません。

これを行うには、標準の製品セキュリティ製品ではなく、このユースケース用に特別に作成されたハニーポットを使用する必要があります。

¹詳細については、man sshd_configを参照してください

18
Jakuje

これが行われない理由は、IS行われたサイトで何が起こり得るかを調べることで、簡単に明らかになります。

かつて、不正なパスワードをログに記録したサイトのパスワードハッシュ強度を改善する必要がありました(これがどのような理由で行われたかは想像できません)。ユーザーの不便を最小限に抑えるために、最初はログイン時にユーザーを自動変換しましたが、しばらくログインしていないユーザーも保護を強化する必要があるため、推測されたすべてのパスワードをより高いハッシュ標準に変換して、ユーザーをクラックしてみました。

Facebookのような大規模なリークからの既知のパスワードリストや、多くの言語や順列などの辞書を1週間試した後、ログインしていない人の約4,000個のパスワードが残っていました。亀裂。

私は過去数年間、不正なパスワードログを取得し、それらのパスワードを解読不可能なパスワードに対して使用し、解読しました残りの4分の1。つまり、複数の管理者アカウントを含む、システム内の本当に難しいパスワードの4分の1を推測したため、4,000ユーザーではなく3,000ユーザーのパスワードをリセットするだけで済みました。

したがって、悪意のある攻撃者にとって、そのようなログの価値は誇張することはできないと思います。

失敗したパスワードをログに記録する正当で正当な理由はありません。ログに記録しない理由はすべてあります。データが漏洩した場合は、大量のユーザーのログイン情報が明らかになります。これらの「不正なパスワード」は、元に戻したパスワード、システムの他のアカウントで使用したパスワード、または他のシステム(銀行、電子メールなど)で使用したパスワードになります。

このようなログを保持することで、セキュリティ上の実際の利点がないユーザーを危険にさらしています。

4
Dewi Morgan