실패한 악의적 인 SSH 시도에서 ‘사용자’에 대해 무엇을 배울 수 있습니까?
- 입력 한 사용자 이름 (
/var/log/secure) - 비밀번호 입력 (구성된 경우, 즉 PAM 모듈을 사용하여)
- 소스 IP 주소 (
/var/log/secure)
다른 것을 추출하는 방법이 있습니까? 정보가 로그 파일, 임의의 트릭 또는 타사 도구 등에서 숨겨져 있는지 여부
답변
글쎄, 당신이 언급하지 않은 항목은 암호를 입력하기 전에 시도한 개인 키의 지문입니다. 로 openssh설정 한 경우 LogLevel VERBOSE에 /etc/sshd_config, 당신은 그들을 로그 파일에서 얻을. 사용자가 자신의 프로필에서 승인 한 공개 키 수집과 비교하여 손상되지 않았는지 확인할 수 있습니다. 침입자가 사용자의 개인 키를 잡고 로그인 이름을 찾는 경우 키가 손상되었음을 알면 침입을 막을 수 있습니다. 분명히 드문 일입니다. 개인 키를 소유 한 사람이 아마도 로그인 이름을 찾은 것 같습니다 …
답변
로 조금 더 나아가서 LogLevel DEBUG클라이언트 소프트웨어 / 버전을 형식으로 찾을 수도 있습니다.
Client protocol version %d.%d; client software version %.100s
또한 키 교환 중에 사용 가능한 키 교환, 암호, MAC 및 압축 방법을 인쇄합니다.
답변
로그인 시도가 자주 또는 하루 종일 발생하면 봇이 로그인을 수행 한 것으로 의심 될 수 있습니다.
사용자가 로그인 한 시간이나 서버의 다른 활동에서 사용자의 습관을 추론 할 수 있습니다. 즉, 동일한 IP 주소 또는 POP3 요청 또는 git에서 Apache가 히트 한 후 로그인은 항상 N 초입니다. 손잡이.