Pregunta ¿Mi contraseña está comprometida porque olvidé presionar Entrar después del nombre de usuario ssh?


Acabo de intentar iniciar sesión en un Fedora (versión 13 Goddard) servidor usando SSH (PuTTY, Windows). Por alguna razón el Entrar después de escribir mi nombre de usuario, no ingresé, ingresé mi contraseña y presioné Intro nuevamente. Solo me di cuenta de mi error cuando el servidor me saludó con un feliz

mi nombre de usuario MI CONTRASEÑAContraseña de @ server.example.com:

Rompí la conexión en este punto y cambié mi contraseña en esa máquina (a través de una conexión SSH separada).

... ahora mi pregunta es: ¿Este inicio de sesión fallido se almacena en texto sin formato en cualquier archivo de registro? En otras palabras, ¿acabo de forzar mi contraseña (ahora desactualizada) frente a los ojos del administrador remoto la próxima vez que escanee sus registros?

Actualizar 

Gracias por todos los comentarios sobre la pregunta implícita "qué hacer para prevenir esto en el futuro". Para conexiones rápidas y únicas, usaré esta función PuTTY ahora:

enter image description here

para reemplazar la opción donde-fue-de-nuevo "nombre de usuario de inicio de sesión automático"

enter image description here

También comenzaré a usar las teclas ssh con más frecuencia, como se explica en los documentos de PuTTY.


142
2017-10-19 12:29


origen


Esta es una muy buena pregunta. Creo que todos hemos introducido accidentalmente UsernamePassword en algún tipo de servicio en algún momento. Es demasiado fácil de hacer. - user606723
Otra buena razón para cambiar la contraseña con una regularidad razonable. - Jonas
Puede evitarlo indicando a su cliente ssh que se conecte a username@server.example.com. Entonces solo se te pedirá la contraseña, lo que hace que un accidente como este sea imposible. Aún mejor, sin embargo, sería usar claves públicas / privadas. - Kevin
@Iceman gracias por la sugerencia, ya que sabía que PuTTY esconde el nombre de usuario debajo de Connection/Data/Login details/Auto-login username nunca se me ocurrió que el campo "Nombre de host (o dirección IP)" también podría aceptar el nombre de usuario @ nombre de host como un cliente ssh de línea de comando adecuado. - Jonas Heidelberg
Utilice la autenticación basada en clave. - Zoredache


Respuestas:


En resumen: sí.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

149
2017-10-19 12:35





Si recuerdo bien, de hecho está registrado en el registro si el nivel de registro está establecido en DEBUG o TRACE.

EDITAR: Está confirmado, intenté iniciar sesión en mi servidor y encontré esto en mis registros.

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Nota: las direcciones IP están ocultas


21
2017-10-19 12:31



Sus IP no están ocultas, solo se publican como números romanos. - Bart Silverstrim
, o improperios. - Sirex
o es la meca de los adolescentes en Internet: la propiedad intelectual de la pornografía. - deanWombourne


O para mayor seguridad y conveniencia, realmente debería considerar configurar las claves SSH ...

# ssh-keyget -t rsa
(aceptar todos los valores predeterminados)

y obtienes ...

~ / .ssh / id_rsa
~ / .ssh / id_rsa.pub

Nota al margen: puede cambiar el nombre de sus archivos de claves si agrega ~ / .ssh / config con algo como los siguientes contenidos:

# cat ~ / .ssh / config
Anfitrión *
Archivo de identidad ~ / .ssh / ddopson_employer_id_rsa

Cat el contenido de su clave pública (será una sola línea):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

Ahora inicie sesión en el cuadro de destino y pegue esa línea en ~ / .ssh / authorized_keys.

Nota al margen: la línea de la clave de publicación termina en una cadena legible como "ddopson @ hostname". Puede cambiar esto para que sea más descriptivo de la clave que está utilizando (por ejemplo, si tiene muchas claves). Esa cadena NO se usa como parte de la autenticación, y es solo para describir la clave de otros seres humanos.

Eso es. Ahora, cuando se conecta al host, ni siquiera se le pedirá una contraseña.

Si le preocupa almacenar su clave privada (id_rsa), puede agregar una frase de contraseña a la clave (ver ssh-keygen), protegiéndola de cualquier persona que tenga acceso a sus archivos. Luego puede usar ssh-agent para descifrar la clave y almacenarla de forma segura en la memoria para que pueda usarse para múltiples conexiones SSH.


10
2017-10-19 21:11



Probablemente debería haber añadido un windows-clients etiqueta a mi pregunta. Este howto Explica cómo hacer que las claves ssh sean utilizables con PuTTY. - Jonas Heidelberg
Puedes hacer exactamente lo mismo con PuTTY. Puede agregar claves a PuTTY, o usar PuTTYgen para generar las claves. La misma historia, diferentes comandos. (Creo que está en la pestaña de autenticación de los parámetros de conexión). - Dave Dopson


La contraseña fue encriptada cuando se transmitió. Sí, es posible que su contraseña haya sido comprometida porque se imprimió en el registro en el servidor de destino. Sin embargo, también diría que cada vez que ingrese su contraseña en su computadora puede verse comprometida, ya que puede haber un software espía en su computadora o un registrador de teclas conectado a su computadora.

Si usted es el único administrador de ese sistema y cree que ese sistema no se ha comprometido, entonces puede asumir con relativa certeza que su contraseña no se ha comprometido, tal como normalmente asume que no hay spyware en su computadora porque no lo ha hecho. presenció algo sospechoso. Puede editar el registro en ese servidor y eliminar la referencia a su contraseña.

Este incidente es una de las razones por las que es mejor usar claves SSH en lugar de contraseñas. Entonces, incluso si alguien obtiene la contraseña que ingresa en su computadora para descifrar la clave privada de su computadora, aún no podrá acceder al servidor remoto; Ellos también necesitan el archivo de clave privada. La seguridad tiene que ver con las capas. Nada es perfecto, pero si agregas suficientes capas, entonces es lo suficientemente difícil como para que el atacante simplemente se mueva o las atrapes porque lleva más tiempo.

No haría lo anterior si su contraseña protege información muy sensible o recursos críticos. Depende de cuán sensible sea su contraseña.


0
2017-10-19 22:00