SSH - hangi kullanıcıların hala şifreler kullanarak giriş yaptığını tanımlayın

32

SSH için parola doğrulamasına izin veren bir Ubuntu Linux sunucum var ve onu yalnızca SSH anahtarlarına geçirmek ve parola oturum açmayı devre dışı bırakmak istiyorum.

Şifre girişini devre dışı bırakmadan önce, hangi kullanıcıların hala şifre kullandığını ve hangilerinin anahtar doğrulamaya geçtiğini nasıl öğrenebilirim?

ssh 
PeterB
kaynak
BT, birçok kişi bunu bilmese de, anahtar ve sunucu şifresi de isteyebilirsiniz . Biraz daha can sıkıcı, ama tabii ki daha da güvenli, eğer bunu yaparsan ...
deviantfan 20
34
Parola girişini önceden bildirmeden devre dışı bırakın ve kaç kişinin çığlık attığını görün.
Mark
19
tonysdg 29:17
@ devevfan Daha uzun bir anahtar dosyası gerektirmek daha güvenli olurdu , ancak bu biraz komut dosyası gerektirebilir.
jpaugh
1
@ devevfan Ben senin fikrini alıyorum. Ancak, özel anahtarın şifresinin sunucu şifresinden farklı olduğunu varsayıyorsunuz; (oysa ben özel anahtar dosyası farz ediyorum sahiptir Biliyorum, bir şifre.)
jpaugh

Yanıtlar:

48

Bunu% 100 güvenilir bir şekilde yapamazsınız, ancak iki güçlü gösterge vardır:

  • Birincisi, bir .ssh/authorized_keysdosyanın varlığı , kullanıcının en azından anahtar tabanlı giriş yapmaya hazır olduğu bir ipucu

  • İkinci olarak, kimlik doğrulama günlük dosyasında ( /var/log/secureCentOS'ta, /var/log/auth.logDebian / Ubuntu'da), auth yöntemi günlüğe kaydedilir:

    Sep 28 13:44:28 hostname sshd[12084]: Accepted publickey for sven

    vs

    Sep 28 13:47:36 hostname sshd[12698]: Accepted password for sven

    Kimin hala şifreler kullandığını öğrenmek için belirtilen şifreli girişleri günlüğe tarayın. Bu, çok uzun bir günlük tutma süresine sahip olmadığınız sürece, nadiren giriş yapan kullanıcılarla çalışmaz.

Sven
kaynak
günlük dosyasını 'Tara' ile, grep kullanma gibi mantıklı seçenekler anlamına geldiğini sanıyorum. grep 'password' /var/log/ssh/sshd.log
djsmiley2k - CoW
8
@ djsmiley2k: Evet, kesinlikle. Veya bu görev için başka hangi yöntemi tercih ederseniz edin.
Sven
İlk yöntem 700, kullanıcı .sshdizinindeki izinler ve takılan ev dizinlerindeki kök squash gibi uygun güvenlik uygulamalarıyla engellenmiyor mu?
Ogre Mezmurlar33
1
@ OgrePsalm33: Bu aramayı NFS sunucusunda yapabilirsiniz ...
Sven
1
@R ..: NFS'yi NFSv4 ve Kerberos ile makul bir şekilde güvence altına alabilirsiniz (bu durumda anahtar tabanlı giriş karmaşıklaşır). Bunun dışında: Evet, anahtar tabanlı giriş , kök sıkıştırılmış NFS ana dizinlerine ~/.sshayarlandığında 700ve herhangi bir sorun yaşamadan çalışır , bu nedenle en azından anahtar tabanlı kimlik doğrulaması için kullanıcı kimliklerini değiştirmesi gerekir authorized_keys.
Sven
19

En hızlı yol onu devre dışı bırakmak ve ofis kapınızı kimin çaldığını görmektir; p

pete
kaynak
6
Bu en hızlı yol değildir, çünkü her kullanıcı her gün giriş yapamaz, oysa günlükler birisi giriş yaptığında açıkça gösterebilir, bu yüzden anında sonuç verir
Ferrybig
3
Bu en yavaş yol. Kullanıcılar yalnızca uygulamaları kapalıysa sunucuya giriş yapar. Bunun gerçekleşmesi yıllar alabilir.
Navin
@pete you the top :)
c4f4t0r
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.