sudo：3回の不正なパスワードの試行-rootはパスワードをクリアテキストで見ることができますか？

19

一部のユーザーがsudo3回コマンドにアクセスできない場合、これはアクセスログ\エラーでルートユーザーに報告される必要があります。

rootはこれらの試行（試行されたパスワードなど）をログのテキストで見ることができますか？

sudo password security

— 成熟した
ソース

4

暗黙の仮定：ルートは悪ではありません。ログインしようとしたときにルートがすでに悪である場合、すべてのベットはオフになります。

— ジョシュア

ほとんどのシステムで何かを設定するのは簡単ですが、私が知っているデフォルト設定の一部ではありません。

— PlasmaHH

2

義務的なxkcd xkcd.com/838

— ジョー

不正な試行回数だけがルートに報告されます。ルートはエントリパスワードをまったく見ることができません。

— モハマドホルギ

37

いいえ、デフォルトではパスワードは記録されません。これは、他の管理者がログを読み取る可能性があり、パスワードの入力ミスがあった場合にユーザーのなりすましを許可する可能性があるため、セキュリティ上の問題になります。

— ヴィダーロ
ソース

28

ログイン試行の成功と失敗はログインします

/var/log/auth.log

成功した試行の例：

Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

そして失敗しました：

Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

失敗した試行を記録し、誤って入力された合計3つのパスワードも記録します。

sudo試行用のパスワードは表示または保存されません。

— リンツウィンド
ソース

4

パスワードが記録される唯一の方法は、通常、ユーザー名の後にEnterキーを押すのを忘れた場合です。そのため、ユーザーScottの代わりに「Scott Tiger」としてログインし、パスワードTigerを使用して

— Lenne

しかし、それはsudoのせいではありません;-)

— Rinzwind

@Lenneは、それが私に起こったとき（または、コマンドの代わりに気をつけてパスワードを入力しなかったとき）、シェルの履歴から問題のある行を削除します。

— ザンナ

4

通常の方法は、問題のパスワードが無効であっても、ログイン試行で使用されるパスワードをログに記録しないことです。これは、パスワードが同じシステム上の別のユーザー（パスワードではなくユーザー名を誤って入力したユーザー）に対して有効であるか、実際のパスワードの些細な変更（ユーザーが文字を忘れたなど）であるためです。

いずれの場合も、システム上に平文のパスワードが置かれたままになり、一部の情報漏洩に対して脆弱になります。（パスワードは、入力されたシステム以外のシステムにとっても有効なパスワードである可能性がありますが、それは実際には「私たち」ではなく「彼ら」にとってより大きな問題です。）

これに多少関連するのは、ユーザーがユーザー名の代わりにパスワードを書き込む場合です（たとえば、通常はユーザー名を自動的に入力するシステムを使用しますが、最初はパスワードを入力しませんでした）。その場合、ログにプレーンテキストのパスワードが含まれます。これは最適ではありませんが、通常の失敗したログイン試行のユーザー名を確認することは有用であり、ユーザー名として入力されたパスワードではなく、それらを保存する簡単な解決策はありません。

とは言っても、システムの管理者がシステムにパスワードを記録させることを止めるものは何もありません。ロギングの追加は、おそらくsyslog()PAMモジュールに1つの呼び出しを追加して再コンパイルすることで実行できます。（PAMはUbuntuがsudo使用するものですが、もちろんWebアプリやその他すべてにも同じことが当てはまります。）

そのため、通常、管理者はシステムに入力されたパスワードを見ることができませんが、信頼していないシステムにパスワードを入力した場合、厳密に言えば、紛失したと考えて変更する必要があります。

— イルカチュウ
ソース

0

より一般的に言えば、非常に UNIXでのいくつかのプログラムは、これまでのsyslogに実際のパスワードを記録したり、他の場所で-そうする正当な理由がほとんどないありません、とグッドスタンディングの理由がありませんし。

パスワードがハッシュされる方法のため、システムは間違ったパスワードとタイプミスの違いを見分けることができません-パスワードが％$ zDF + 02Gで、％$ ZDF + 02Gを入力した場合、それはあなたが失敗するでしょう「rubberbabybuggybumpers」と入力したが、失敗したパスワードを記録すると、ログを読んでいる悪意のある第三者に貴重な情報が提供されてしまいます。

プログラムがパスワードをログに記録する機能を持っていることがわかった1つのケース（および、それが良いアイデアであるユースケース）は、RADIUSサーバーにあります。あなたはおそらくデバッグモードを望んでいて、接続に失敗したクライアントを持っているので、「はい、パスワードを含む」を意味するフラグを明示的に追加し、考えられるすべての原因を完全に除外する必要があります...

— シャドゥール
ソース