सवाल क्या मेरा पासवर्ड समझौता किया गया है क्योंकि मैं एसएसएच उपयोगकर्ता नाम के बाद एंटर दबा सकता हूं?


मैंने अभी लॉग इन करने का प्रयास किया है फेडोरा (रिलीज 13 गोडार्ड) एसएसएच (पुटी, विंडोज) का उपयोग कर सर्वर। किसी कारण से दर्ज मेरा उपयोगकर्ता नाम टाइप करने के बाद नहीं चला और मैंने अपने पासवर्ड में टाइप किया और फिर एंटर दबाएं। मुझे केवल मेरी गलती का एहसास हुआ सर्वर ने मुझे खुश से स्वागत किया

myusername मेरा पासवर्ड@ server.example.com का पासवर्ड:

मैंने इस बिंदु पर कनेक्शन तोड़ दिया और उस मशीन पर अपना पासवर्ड बदल दिया (एक अलग एसएसएच कनेक्शन के माध्यम से)।

... अब मेरा सवाल है: क्या कोई असफल लॉगिन किसी भी लॉगफाइल में सादा पाठ में संग्रहीत है? दूसरे शब्दों में, क्या मैंने अगली बार जब वह अपने लॉग स्कैन करता है तो मैंने दूरस्थ व्यवस्थापक की आंखों के सामने अपना (अब-पुराना) पासवर्ड मजबूर कर दिया है?

अद्यतन करें 

निहित प्रश्न के बारे में सभी टिप्पणियों के लिए धन्यवाद "भविष्य में इसे रोकने के लिए क्या करना है"। त्वरित, एक-ऑफ कनेक्शन के लिए मैं अब इस पुटी सुविधा का उपयोग करूंगा:

enter image description here

कहां से था "ऑटो-लॉगिन उपयोगकर्ता नाम" विकल्प को प्रतिस्थापित करने के लिए

enter image description here

जैसा कि समझाया गया है, मैं अक्सर एसएसएच कुंजी का उपयोग करना शुरू कर दूंगा पुटी डॉक्स में


142
2017-10-19 12:29


मूल


यह वास्तव में एक अच्छा सवाल है। मुझे लगता है कि हमने गलती से उपयोगकर्ता नाम पासवर्ड को कुछ समय पर किसी प्रकार की सेवा में टाइप किया है। यह करना बहुत आसान है। - user606723
उचित नियमितता के साथ पासवर्ड बदलने का एक और अच्छा कारण है। - Jonas
आप अपने एसएसएच क्लाइंट को username@server.example.com से कनेक्ट करने के लिए कहकर इससे बच सकते हैं। फिर आपको केवल पासवर्ड के लिए संकेत मिलेगा, इस तरह की दुर्घटना को असंभव बना दिया जाएगा। हालांकि, बेहतर, सार्वजनिक / निजी कुंजी का उपयोग करना होगा। - Kevin
@Iceman उस संकेत के लिए धन्यवाद - क्योंकि मुझे पता था कि पुटी यूजरनेम को छुपाता है Connection/Data/Login details/Auto-login username यह मेरे लिए कभी नहीं हुआ कि "होस्ट नाम (या आईपी पता)" फ़ील्ड उपयोगकर्ता नाम @ होस्टनाम को उचित कमांड लाइन एसएसएच क्लाइंट की तरह स्वीकार कर सकता है। - Jonas Heidelberg
कुंजी-आधारित प्रमाणीकरण का प्रयोग करें। - Zoredache


जवाब:


संक्षेप में: हाँ।

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

149
2017-10-19 12:35





अगर मुझे अच्छी तरह याद है, तो यह वास्तव में लॉग में पंजीकृत है यदि लॉग स्तर DEBUG या TRACE पर सेट है।

संपादित करें: यह पुष्टि की गई है, मैंने अपने सर्वर में लॉग इन करने का प्रयास किया और इसे मेरे लॉग में पाया।

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

नोट: आईपी छुपाए गए हैं


21
2017-10-19 12:31



आपके आईपी छिपे नहीं हैं, वे सिर्फ रोमन अंकों के रूप में पोस्ट किए गए हैं। - Bart Silverstrim
, या expletives। - Sirex
या यह इंटरनेट पर किशोर लड़कों का मक्का है - पोर्न का आईपी। - deanWombourne


या अतिरिक्त सुरक्षा और सुविधा दोनों के लिए, आपको वास्तव में एसएसएच कुंजी सेट करने पर विचार करना चाहिए ...

# एसएसएच-कीजेट -टी आरएसए
(सभी डिफ़ॉल्ट स्वीकार करें)

और आप ...

~ / .Ssh / id_rsa
~ / .Ssh / id_rsa.pub

साइड-नोट: यदि आप निम्न सामग्री जैसे कुछ के साथ ~ / .ssh / config जोड़ते हैं तो आप अपनी मुख्य फ़ाइलों का नाम बदल सकते हैं:

# बिल्ली ~ / .ssh / config
मेज़बान *
पहचानफाइल ~ / .ssh / ddopson_employer_id_rsa

अपनी सार्वजनिक कुंजी की सामग्री को बिल्ली दें (एक पंक्ति होगी):

# बिल्ली ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

अब लक्ष्य बॉक्स में लॉग इन करें और उस पंक्ति को ~ / .ssh / अधिकृत_keys में पेस्ट करें।

साइड-नोट: पबकी लाइन मानव पढ़ने योग्य स्ट्रिंग में समाप्त होती है जैसे "ddopson @ hostname"। आप इसे उपयोग करने वाली कुंजी के अधिक वर्णनात्मक होने के लिए बदल सकते हैं (उदाहरण के लिए, यदि आपके पास बहुत सी कुंजी हैं)। उस स्ट्रिंग को प्रमाणीकरण के एक हिस्से के रूप में उपयोग नहीं किया जाता है, और केवल अन्य मनुष्यों की कुंजी का वर्णन करने के लिए है।

बस। अब जब आप मेजबान के लिए ssh, आप पासवर्ड के लिए भी संकेत नहीं दिया जाएगा।

यदि आप अपनी निजी कुंजी (id_rsa) को संग्रहीत करने के बारे में चिंतित हैं, तो आप कुंजी पर एक पासफ्रेज जोड़ सकते हैं (एसएसएच-कीजेन देखें), इसे किसी भी व्यक्ति द्वारा उपयोग से सुरक्षित रखने के लिए जो आपकी फ़ाइलों तक पहुंच है। फिर आप कुंजी को डिक्रिप्ट करने के लिए एसएसएच-एजेंट का उपयोग कर सकते हैं और सुरक्षित रूप से इसे स्मृति में संग्रहीत कर सकते हैं ताकि इसका उपयोग कई एसएसएच कनेक्शनों के लिए किया जा सके।


10
2017-10-19 21:11



मुझे शायद एक जोड़ा जाना चाहिए था windows-clients मेरे प्रश्न पर टैग करें। यह कैसे है बताता है कि एसटीएच कुंजी को पुटी के साथ प्रयोग करने योग्य कैसे बनाया जाए। - Jonas Heidelberg
आप पुटी के साथ एक ही चीज़ कर सकते हैं। आप पुटी में कुंजियां जोड़ सकते हैं, या चाबियाँ उत्पन्न करने के लिए पुटीजजेन का उपयोग कर सकते हैं। वही कहानी, विभिन्न आदेश। (मुझे लगता है कि यह कनेक्शन पैराम के प्रमाणीकरण टैब में है)। - Dave Dopson


संचरित होने पर पासवर्ड एन्क्रिप्ट किया गया था। हां, यह संभव है कि आपके पासवर्ड से समझौता किया गया क्योंकि यह गंतव्य सर्वर पर लॉग में मुद्रित था। हालांकि, मैं यह भी कहूंगा कि हर बार जब आप अपने कंप्यूटर पर अपना पासवर्ड डालते हैं तो इससे समझौता किया जा सकता है क्योंकि आपके कंप्यूटर पर स्पाइवेयर सॉफ़्टवेयर हो सकता है या आपके कंप्यूटर से जुड़े कीलॉगर हो सकते हैं।

यदि आप उस प्रणाली का एकमात्र व्यवस्थापक हैं और आप मानते हैं कि उस प्रणाली से समझौता नहीं किया गया है तो आप सापेक्ष निश्चितता के साथ यह मान सकते हैं कि आपके पासवर्ड से समझौता नहीं किया गया है जैसा कि आप आमतौर पर मानते हैं कि आपके कंप्यूटर पर कोई स्पाइवेयर नहीं है क्योंकि आपने नहीं किया है कुछ भी संदिग्ध देखा। आप उस सर्वर पर लॉग संपादित कर सकते हैं और अपने पासवर्ड के संदर्भ को हटा सकते हैं।

यह घटना एक कारण है कि पासवर्ड के बजाय एसएसएच कुंजी का उपयोग करना बेहतर है। फिर, भले ही किसी को आपके कंप्यूटर पर आपके कंप्यूटर पर निजी कुंजी डिक्रिप्ट करने के लिए पासवर्ड मिल जाए, फिर भी वे रिमोट सर्वर तक पहुंच नहीं पाएंगे; उन्हें निजी कुंजी फ़ाइल भी चाहिए। सुरक्षा परतों के बारे में सब कुछ है। कुछ भी सही नहीं है, लेकिन यदि आप पर्याप्त परत जोड़ते हैं तो यह मुश्किल है कि हमलावर बस आगे बढ़ेगा या आप उन्हें पकड़ लेंगे क्योंकि इसमें अधिक समय लगता है।

यदि आपका पासवर्ड बहुत संवेदनशील जानकारी या महत्वपूर्ण संसाधनों की सुरक्षा करता है तो मैं ऊपर नहीं करता। यह इस बात पर निर्भर करता है कि आपका पासवर्ड कितना संवेदनशील है।


0
2017-10-19 22:00