Question Mon mot de passe est-il compromis parce que j'ai oublié d'appuyer sur Entrée après le nom d'utilisateur ssh?


Je viens d'essayer de vous connecter à un Feutre (version 13 Goddard) utilisant SSH (PuTTY, Windows). Pour une raison quelconque, le Entrer après avoir tapé mon nom d'utilisateur n'est pas passé et j'ai tapé mon mot de passe et appuyez à nouveau sur Entrée. J'ai seulement réalisé mon erreur quand le serveur m'a salué avec un joyeux

Mon nom d'utilisateur MON MOT DE PASSEMot de passe @ server.example.com:

J'ai interrompu la connexion à ce stade et changé mon mot de passe sur cette machine (via une connexion SSH distincte).

... maintenant ma question est: Une telle connexion échouée est-elle stockée en texte brut dans un fichier journal? En d'autres termes, ai-je simplement forcé mon mot de passe (maintenant obsolète) devant les yeux de l'administrateur distant lors de la prochaine analyse de ses journaux?

Mettre à jour 

Merci pour tous les commentaires sur la question implicite "que faire pour éviter cela à l'avenir". Pour des connexions rapides et uniques, je vais maintenant utiliser cette fonctionnalité de PuTTY:

enter image description here

pour remplacer l'option "nom d'utilisateur" où vous vous connectez automatiquement

enter image description here

Je vais aussi commencer à utiliser les clés SSH plus souvent, comme expliqué dans les documents PuTTY.


142
2017-10-19 12:29


origine


C'est une très bonne question. Je pense que nous avons tous accidentellement tapé UsernamePassword dans une sorte de service à un moment donné. C'est beaucoup trop facile à faire. - user606723
Encore une autre bonne raison de changer le mot de passe avec une régularité raisonnable. - Jonas
Vous pouvez éviter cela en disant à votre client ssh de se connecter à nomutilisateur@server.example.com. Ensuite, il vous suffira de saisir le mot de passe, rendant un tel accident impossible. Mieux encore, il faudrait simplement utiliser des clés publiques / privées. - Kevin
@ Iceman merci pour cet indice - puisque je savais que PuTTY cache le nom d'utilisateur sous Connection/Data/Login details/Auto-login username Il ne m'est jamais venu à l'esprit que le champ "Nom d'hôte (ou adresse IP)" pouvait également accepter le nom d'utilisateur @ nom d'hôte comme un client ssh en ligne de commande approprié. - Jonas Heidelberg
Utilisez l'authentification par clé. - Zoredache


Réponses:


En bref: oui.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

149
2017-10-19 12:35





Si je me souviens bien, il est effectivement enregistré dans le journal si le niveau de journalisation est défini sur DEBUG ou TRACE.

EDIT: C'est confirmé, j'ai essayé de me connecter à mon serveur et je l'ai trouvé dans mes journaux.

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Remarque: les adresses IP sont masquées


21
2017-10-19 12:31



Vos adresses IP ne sont pas cachées, elles sont simplement affichées en chiffres romains. - Bart Silverstrim
, ou explétives. - Sirex
ou c'est la Mecque des adolescents sur Internet - la propriété intellectuelle du porno. - deanWombourne


Ou pour plus de sécurité et de commodité, vous devriez vraiment envisager de configurer des clés SSH ...

# ssh-keyget -t rsa
(accepter tous les défauts)

et vous obtenez ...

~ / .ssh / id_rsa
~ / .ssh / id_rsa.pub

Note latérale: vous pouvez renommer vos fichiers de clés si vous ajoutez ~ / .ssh / config avec un contenu similaire au contenu suivant:

# cat ~ / .ssh / config
Hôte *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Cat le contenu de votre clé publique (sera une seule ligne):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ nom_hôte

Connectez-vous maintenant à la zone cible et collez cette ligne dans ~ / .ssh / registered_keys.

Note latérale: la ligne pubkey se termine par une chaîne lisible par l'homme, telle que "ddopson @ hostname". Vous pouvez changer cela pour qu'il soit plus descriptif de la clé que vous utilisez (par exemple, si vous avez beaucoup de clés). Cette chaîne n'est PAS utilisée dans le cadre de l'authentification et sert uniquement à décrire la clé destinée à d'autres êtres humains.

C'est tout. Maintenant, lorsque vous vous connectez à l'hôte, vous ne serez même pas invité à entrer un mot de passe.

Si vous souhaitez stocker votre clé privée (id_rsa), vous pouvez ajouter une phrase secrète à la clé elle-même (voir ssh-keygen), en la protégeant de toute utilisation par quiconque ayant accès à vos fichiers. Vous pouvez ensuite utiliser ssh-agent pour déchiffrer la clé et la stocker de manière sécurisée en mémoire afin qu'elle puisse être utilisée pour plusieurs connexions SSH.


10
2017-10-19 21:11



J'aurais probablement dû ajouter un windows-clients tag à ma question. Ce howto explique comment rendre les clés ssh utilisables avec PuTTY. - Jonas Heidelberg
vous pouvez faire exactement la même chose avec PuTTY. Vous pouvez ajouter des clés dans PuTTY ou utiliser PuTTYgen pour générer les clés. Même histoire, différentes commandes. (Je pense que c'est dans l'onglet d'authentification des paramètres de connexion). - Dave Dopson


Le mot de passe a été crypté lors de la transmission. Oui, il est possible que votre mot de passe ait été compromis car il a été imprimé dans le journal sur le serveur de destination. Cependant, je dirais aussi que chaque fois que vous entrez votre mot de passe sur votre ordinateur, il peut être compromis car il peut y avoir un logiciel espion sur votre ordinateur ou un enregistreur de frappe connecté à votre ordinateur.

Si vous êtes le seul administrateur de ce système et que vous pensez que ce système n'a pas été compromis, vous pouvez avec une certitude relative présumer que votre mot de passe n'a pas été compromis, tout comme vous supposez normalement qu'il n'y a pas de spyware sur votre ordinateur, car vous ne l'avez pas encore fait. été témoin de rien de suspect. Vous pouvez modifier le journal sur ce serveur et supprimer la référence à votre mot de passe.

Cet incident est l'une des raisons pour lesquelles il est préférable d'utiliser des clés SSH plutôt que des mots de passe. Ensuite, même si quelqu'un obtient le mot de passe que vous entrez sur votre ordinateur pour déchiffrer la clé privée de votre ordinateur, il ne pourra toujours pas accéder au serveur distant. ils ont également besoin du fichier de clé privée. La sécurité est tout au sujet des couches. Rien n’est parfait, mais si vous ajoutez suffisamment de couches, il est assez difficile que l’attaquant continue à avancer ou vous les attrapez, car cela prend plus de temps.

Je ne ferais pas ce qui précède si votre mot de passe protège des informations très sensibles ou des ressources critiques. Cela dépend de la sensibilité de votre mot de passe.


0
2017-10-19 22:00