失敗したSSH試行からユーザーについて何を学ぶことができますか？

悪意のあるSSH試行の失敗から「ユーザー」について何を学ぶことができますか？

• 入力されたユーザー名（/var/log/secure）
• 入力されたパスワード（構成されている場合、つまりPAMモジュールを使用して）
• 送信元IPアドレス（/var/log/secure）

他に何かを抽出する方法はありますか？ログファイル、ランダムトリック、またはサードパーティのツールなどから隠された情報かどうか

さて、あなたが言及していない項目は、パスワードを入力する前に試した秘密鍵の指紋です。ではopenssh、あなたが設定されている場合、LogLevel VERBOSEに/etc/sshd_config、あなたはログファイルにそれらを得ます。ユーザーがプロファイルで承認した公開キーのコレクションと照合して、侵害されているかどうかを確認できます。攻撃者がユーザーの秘密キーを手に入れてログイン名を探している場合、キーが侵害されていることを知ることで侵入を防ぐことができます。確かに、それはまれです：秘密鍵を所有している人はおそらくログイン名も見つけているでしょう...

さらに少し進んでLogLevel DEBUG、クライアントソフトウェア/バージョンの形式を調べることもできます

Client protocol version %d.%d; client software version %.100s

また、キー交換中に使用可能なキー交換、暗号、MAC、および圧縮方法も出力します。

ログイン試行が非常に頻繁であるか、1日のすべての時間に発生する場合、ログインがボットによって実行されていると疑われる可能性があります。

ログインした時刻やサーバー上の他のアクティビティからユーザーの習慣を推測できる場合があります。つまり、同じIPアドレス、POP3リクエスト、またはgitからApacheがヒットした後、ログインは常にN秒です引く。