Ssh kullanıcı adından sonra Enter tuşuna basmayı unuttuğum için şifrem tehlikede mi?

142

Ben sadece SSH (PuTTY, Windows) kullanarak bir Fedora (sürüm 13 Goddard) sunucusuna giriş yapmayı denedim . Nedense Enterkullanıcı adımı yazdıktan sonra geçmedi ve şifremi yazdım ve tekrar Enter tuşuna basın. Hatamı yalnızca sunucu beni mutlu bir şekilde selamladığında fark ettim.

myusername MYPASSWORD @ server.example.com'un şifresi:

Bu noktada bağlantıyı kestim ve o makinedeki şifremi değiştirdim (ayrı bir SSH bağlantısıyla).

... şimdi sorum şu: Böyle bir başarısız giriş herhangi bir günlük dosyasına düz metin olarak saklanmış mı? Başka bir deyişle, bir keresinde bir dahaki kayıtlarını taradığında (güncel olmayan) şifremi uzak yöneticinin gözünün önüne zorladım mı?

Güncelleme

"Gelecekte bunu önlemek için ne yapmalı" sorusuyla ilgili tüm yorumlar için teşekkür ederiz. Hızlı, one-one bağlantılar için bu PuTTY özelliğini şimdi kullanacağım:

görüntü tanımını buraya girin

nerede oldu? tekrar "otomatik giriş kullanıcı adı" seçeneğini değiştirmek için

görüntü tanımını buraya girin

PuTTY belgelerinde açıklandığı gibi, ssh anahtarlarını daha sık kullanmaya başlayacağım .

— Jonas Heidelberg
kaynak

4

Bu gerçekten iyi bir soru. Sanırım, yanlışlıkla UsernamePassword'ü belirli bir zamanda bir tür hizmete yazdık. Yapması çok kolay.

— user606723

2

Şifreyi makul bir düzenlilikle değiştirmek için yine iyi bir neden.

— Jonas

25

Bunu ssh müşterinize username@server.example.com adresine bağlanmasını söyleyerek önleyebilirsiniz. O zaman böyle bir kazayı imkansız hale getirerek, yalnızca şifre girmeniz istenir. Daha da iyisi, sadece genel / özel anahtarları kullanmak olacaktır.

— Kevin

1

@Iceman bu ipucuna teşekkür etti - PuTTY'nin altındaki kullanıcı adını Connection/Data/Login details/Auto-login usernameasla saklamadığını bildiğimden beri , "Ana bilgisayar adı (veya IP adresi)" alanının da uygun bir komut satırı ssh istemcisi gibi kullanıcı adı @ ana bilgisayar adını kabul edebileceğini biliyordum .

— Jonas Heidelberg

4

Anahtar tabanlı kimlik doğrulama kullanın.

— Zoredache

148

Kısacası: evet.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

— -tavşansın
kaynak

21

İyi hatırlıyorsam, eğer günlük seviyesi DEBUG ya da TRACE olarak ayarlanmışsa, gerçekten kayıt defterine kaydedilir.

EDIT: Onaylandı, sunucuma giriş yapmaya çalıştım ve bunu kayıtlarımda buldum.

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Not: IP'ler gizlidir

— Zenklys
kaynak

51

IP adresleriniz gizli değil, sadece Romen rakamları olarak gönderildiler.

— Bart Silverstrim

2

veya patlayıcı maddeler.

— Sirex

8

ya da internetteki genç erkeklerin mekânı - porno IP.

— deanWombourne

10

Ya da ek güvenlik ve rahatlık için, SSH anahtarlarını ayarlamayı gerçekten düşünmelisiniz ...

# ssh-keyget -t rsa
(tüm varsayılanları kabul et)

ve sen ...

~ / .Ssh / id_rsa
~ / .Ssh / id_rsa.pub

Yan Not: Aşağıdaki içeriklere benzer bir şeyle ~ / .ssh / config eklerseniz, anahtar dosyalarınızı yeniden adlandırabilirsiniz:

# cat ~ / .ssh / config
Ana Bilgisayar *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Genel anahtarınızın içeriğini yakalayın (tek satır olacak):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

Şimdi hedef kutusuna giriş yapın ve bu satırı ~ / .ssh / yetkili_keylerine yapıştırın.

Not: pubkey satırı "ddopson @ hostname" gibi insan tarafından okunabilir bir dizgede bitiyor. Bunu, kullandığınız anahtarın daha açıklayıcı olması için değiştirebilirsiniz (örneğin, çok fazla anahtarınız varsa). Bu dize, doğrulamanın bir parçası olarak kullanılmaz ve yalnızca diğer insanların anahtarını tanımlamak içindir.

Bu kadar. Şimdi ana bilgisayara ssh yaptığınızda, sizden bir şifre sorulmayacak.

Özel anahtarınızı (id_rsa) saklama konusunda endişeleniyorsanız, dosyalarınıza erişimi olan herkes tarafından kullanılmasını önleyerek, anahtarın kendisine bir şifre ekleyebilir (bkz. Ssh-keygen). Daha sonra, anahtarın şifresini çözmek ve güvenli bir şekilde bellekte saklamak için ssh-agent'ı kullanabilirsiniz, böylece birden fazla SSH bağlantısı için kullanılabilir.

— Dave Dopson
kaynak

windows-clientsSoruma muhtemelen bir etiket eklemeliydim . Bu nasıl ssh anahtarlarını PuTTY ile kullanılabilir hale getirmeyi açıklar.

— Jonas Heidelberg

PuTTY ile aynı şeyi yapabilirsiniz. Anahtarları PuTTY'ye ekleyebilir veya anahtarları oluşturmak için PuTTYgen'i kullanabilirsiniz. Aynı hikaye, farklı komutlar. (Bağlantı paramlarının doğrulama sekmesinde olduğunu düşünüyorum).

— Dave Dopson

0

Şifre iletildiğinde şifrelenmiştir. Evet, hedef sunucunun günlüğüne yazdırıldığından şifreniz tehlikeye girmiş olabilir. Ancak, parolanızı bilgisayarınıza her girdiğinizde, bilgisayarınızda casus yazılım olduğundan veya bilgisayarınıza bağlı bir keylogger olabileceğinden, bunun tehlikeye girebileceğini söyleyebilirim.

Bu sistemin tek yöneticisi sizseniz ve bu sistemin tehlikeye girmediğine inanıyorsanız, normalde bilgisayarınızda casus yazılım bulunmadığını varsaydığınız gibi şifrenizin şifreniz olmadığını varsayalım. şüpheli bir şeye tanık oldum. Bu sunucudaki günlüğü düzenleyebilir ve şifrenizdeki referansı kaldırabilirsiniz.

Bu olay, parola yerine SSH anahtarlarının kullanılmasının daha iyi olmasının bir nedenidir. Daha sonra, birileri bilgisayarınızdaki özel anahtarın şifresini çözmek için bilgisayarınıza girdiğiniz şifreyi alsa bile, yine de uzak sunucuya erişemez. Özel anahtar dosyasının da kendisine ihtiyacı var. Güvenlik tamamen katmanlarla ilgilidir. Hiçbir şey mükemmel değildir, ancak yeterince katman eklerseniz, saldırganın devam etmesi veya daha fazla zaman alacağı için onları yakalayabilmesi için yeterince zordur.

Şifreniz çok hassas bilgileri veya kritik kaynakları koruyorsa yukarıdakileri yapmam. Şifrenizin ne kadar hassas olduğuna bağlı.

— sjbotha
kaynak