sshユーザー名の後にEnterキーを押すのを忘れたため、パスワードが侵害されましたか?


142

SSH(PuTTY、Windows)を使用してFedora(リリース13 Goddard)サーバーにログインしようとしました。何らかの理由で、Enterユーザー名を入力した後、パススルーが行われず、パスワードを入力して、もう一度Enterキーを押しました。サーバーが幸せに迎えてくれたときだけ、自分の間違いに気付きました

myusername MYPASSWORD @ server.example.comのパスワード:

この時点で接続を切断し、そのマシンのパスワードを変更しました(別のSSH接続を使用)。

...今、私の質問は次のとおりです。そのような失敗したログインは、ログファイルにプレーンテキストで保存されていますか?言い換えると、リモート管理者が次にログをスキャンするときに、リモート管理者の目の前で(今では無効になっている)パスワードを強制しましたか?

更新

「将来これを防ぐために何をすべきか」という暗黙の質問に関するすべてのコメントをありがとう。迅速な1回限りの接続のために、このPuTTY機能を使用します。

ここに画像の説明を入力してください

where-was-it-again "auto-login username"オプションを置き換えるには

ここに画像の説明を入力してください

また、PuTTY docsで説明されているよう、sshキーの使用をより頻繁に開始します。


4
これは本当に良い質問です。いずれかの時点で誤ってUsernamePasswordを何らかのサービスに入力したと思います。とても簡単です。
user606723

2
妥当な規則でパスワードを変更するもう1つの正当な理由。
ジョナス

25
これを回避するには、sshクライアントにusername@server.example.comに接続するように指示します。その後、パスワードの入力を求められるだけで、このような事故は起こりません。ただし、さらに良いのは、公開キーと秘密キーを使用することです。
ケビン

1
@Icemanはそのヒントをありがとう-PuTTYはその下のユーザー名を隠すConnection/Data/Login details/Auto-login usernameので、「ホスト名(またはIPアドレス)」フィールドが適切なコマンドラインsshクライアントのようにusername @ hostnameを受け入れることはありません。
ジョナスハイデルベルク

4
キーベースの認証を使用します。
ゾレダチェ

回答:


148

要するに:はい。

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

21

よく覚えていれば、ログレベルがDEBUGまたはTRACEに設定されていれば、実際にログに登録されます。

編集:それは確認されました、私は私のサーバーにログインしようとしました、そして、私のログでこれを見つけました。

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

注:IPは非表示です


51
IPは非表示ではなく、ローマ数字として投稿されています。
バートシルバース

2
、またはexp辞。
Sirex

8
または、インターネット上の10代の少年のメッカ-ポルノのIPです。
-deanWombourne

10

または、追加の安全性と利便性の両方のために、SSHキーのセットアップを実際に検討する必要があります...

#ssh-keyget -t rsa
(すべてのデフォルトを受け入れます)

そして、あなたは...

〜/ .ssh / id_rsa
〜/ .ssh / id_rsa.pub

補足:〜/ .ssh / configを次のような内容で追加すると、キーファイルの名前を変更できます。

#cat〜/ .ssh / config
ホスト *
IdentityFile〜/ .ssh / ddopson_employer_id_rsa

公開鍵の内容をcatします(1行になります):

#cat〜/ .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

ターゲットボックスにログインし、その行を〜/ .ssh / authorized_keysに貼り付けます。

補足:pubkey行は、「ddopson @ hostname」のような人間が読める文字列で終わります。これを変更して、使用しているキーをよりわかりやすくすることができます(たとえば、キーがたくさんある場合)。その文字列は認証の一部として使用されるのではなく、他の人間にキーを説明するためだけのものです。

それでおしまい。これで、ホストにsshするときに、パスワードの入力も求められなくなります。

秘密鍵(id_rsa)の保存が心配な場合は、鍵自体にパスフレーズを追加して(ssh-keygenを参照)、ファイルにアクセスできる人が使用できないように保護することができます。その後、ssh-agentを使用してキーを復号化し、メモリに安全に保存して、複数のSSH接続に使用できるようにします。


windows-clients質問にタグを追加する必要があります。このハウツーでは、PuTTYでsshキーを使用可能にする方法について説明します。
ジョナスハイデルベルク

PuTTYでもまったく同じことができます。キーをPuTTYに追加するか、PuTTYgenを使用してキーを生成できます。同じ話、異なるコマンド。(接続パラメーターの認証タブにあると思います)。
デイブドプソン

0

パスワードは送信時に暗号化されました。はい、移行先サーバーのログにパスワードが印刷されていたため、パスワードが侵害された可能性があります。ただし、コンピューターにスパイウェアソフトウェアまたはコンピューターにキーロガーが接続されている可能性があるため、コンピューターにパスワードを入力するたびにパスワードが危険にさらされる可能性があるとも言えます。

あなたがそのシステムの唯一の管理者であり、そのシステムが侵害されていないと思われる場合、比較的確実にあなたのパスワードが侵害されていないと仮定することができます。疑わしいものを目撃しました。そのサーバーのログを編集して、パスワードへの参照を削除できます。

このインシデントは、パスワードの代わりにSSHキーを使用するほうが良い理由の1つです。その後、誰かがあなたのコンピューターで入力したパスワードを取得して、コンピューターの秘密鍵を解読しても、彼らはまだリモートサーバーにアクセスできません。秘密鍵ファイル自体も必要です。セキュリティはすべてレイヤーです。完璧なものは何もありませんが、十分なレイヤーを追加すると、攻撃者が先に進むか、時間がかかるのでそれらを捕まえることが難しくなります。

パスワードが非常に重要な情報や重要なリソースを保護している場合、上記のことは行いません。パスワードの機密性に依存します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.