Başarısız bir SSH girişiminden bir kullanıcı hakkında ne öğrenilebilir?

Başarısız bir kötü amaçlı SSH girişiminden bir 'kullanıcı' hakkında ne öğrenilebilir?

• Kullanıcı adı girildi ( /var/log/secure)
• Şifre girildi (konfigüre edilmişse, yani bir PAM modülü kullanarak)
• Kaynak IP adresi ( /var/log/secure)

Başka bir şey ayıklamak için herhangi bir yöntem var mı? Bilgilerin günlük dosyalarında, rastgele numaralarda veya 3. parti araçlarda vs. gizlenmiş olması.

Bahsetmediğiniz bir öğe, şifre girmeden önce denedikleri özel anahtarların parmak izleri. İle opensshayarladığınız takdirde, LogLevel VERBOSEiçinde /etc/sshd_config, bunları günlük dosyalarındaki olsun. Bunları, kullanıcıların tehlikeye atılıp atılmadıklarını görmek için profillerinde yetkilendirdikleri ortak anahtar koleksiyonuna karşı kontrol edebilirsiniz. Bir saldırganın bir kullanıcının özel anahtarına sahip olması ve giriş adının aranması durumunda, anahtarın tehlikeye girdiğini bilmek izinsiz girişi engelleyebilir. Kuşkusuz, nadirdir: özel bir anahtarın sahibi muhtemelen giriş adını da öğrenmiştir ...

Biraz daha ileri giderek LogLevel DEBUG, müşteri yazılımını / versiyonunu formatta da bulabilirsiniz.

Client protocol version %d.%d; client software version %.100s

Ayrıca anahtar değişimi, şifreler, MAC'ler ve anahtar değişimi sırasında mevcut olan sıkıştırma yöntemlerini de yazdıracaktır.

Giriş denemeleri çok sık görülürse veya günün her saatinde gerçekleşirse, girişin bir bot tarafından yapıldığından şüphelenebilirsiniz.

Kullanıcının alışkanlıklarını, oturum açtıkları günden itibaren veya sunucudaki diğer etkinliklere göre hesaplayabilirsiniz; yani, girişler, aynı IP adresinden veya bir POP3 isteğinden veya bir Git adresinden bir Apache'den sonra N saniyedir. Çek.