Apakah kata sandi saya terganggu karena saya lupa menekan Enter setelah nama pengguna ssh?

142

Saya baru saja mencoba masuk ke server Fedora (rilis 13 Goddard) menggunakan SSH (Putty, Windows). Untuk beberapa alasan Entersetelah mengetik nama pengguna saya tidak melalui dan saya mengetik kata sandi saya dan tekan Enter lagi. Saya baru menyadari kesalahan saya ketika server menyambut saya dengan senang

kata sandi myusername MYPASSWORD @ server.example.com:

Saya memutuskan koneksi pada saat ini dan mengubah kata sandi saya di mesin itu (melalui koneksi SSH terpisah).

... sekarang pertanyaan saya adalah: Apakah login yang gagal disimpan dalam teks biasa di file log apa pun? Dengan kata lain, apakah saya baru saja memaksakan kata sandi saya (yang sudah ketinggalan zaman) di depan mata admin jarak jauh saat berikutnya dia memindai log-nya?

Memperbarui

Terima kasih atas semua komentar tentang pertanyaan tersirat "apa yang harus dilakukan untuk mencegah hal ini di masa depan". Untuk koneksi cepat dan sekali pakai, saya akan menggunakan fitur Putty ini sekarang:

masukkan deskripsi gambar di sini

untuk mengganti opsi "username login otomatis" yang ada sebelumnya

masukkan deskripsi gambar di sini

Saya juga akan mulai menggunakan kunci ssh lebih sering, seperti yang dijelaskan dalam dokumen Putty .

ssh  logging  password  windows  login 
Jonas Heidelberg
sumber
4
Ini pertanyaan yang sangat bagus. Saya pikir kita semua secara tidak sengaja mengetik UsernamePassword menjadi semacam layanan pada suatu saat. Itu terlalu mudah untuk dilakukan.
user606723
2
Namun alasan bagus lainnya untuk mengubah kata sandi dengan keteraturan yang wajar.
Jonas
25
Anda dapat menghindari ini dengan memberi tahu klien ssh Anda untuk terhubung ke username@server.example.com. Maka Anda hanya akan diminta kata sandi, membuat kecelakaan seperti ini tidak mungkin. Bahkan lebih baik, hanya menggunakan kunci publik / pribadi.
Kevin
1
@Iceman terima kasih atas petunjuk itu - karena saya tahu Putty menyembunyikan nama pengguna di Connection/Data/Login details/Auto-login usernamebawahnya tidak pernah terpikir oleh saya bahwa bidang "Nama host (atau alamat IP)" juga dapat menerima nama pengguna @ hostname seperti klien baris perintah ssh yang tepat.
Jonas Heidelberg
4
Gunakan otentikasi berbasis kunci.
Zoredache

Jawaban:

148

Singkatnya: ya.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2
the-wabbit
sumber
21

Jika saya ingat betul, itu memang terdaftar dalam log jika tingkat log diatur ke DEBUG atau TRACE.

EDIT: Sudah dikonfirmasi, saya mencoba masuk ke server saya dan menemukan ini di log saya. 

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Catatan: IP disembunyikan

Zenklys
sumber
51
IP Anda tidak disembunyikan, mereka hanya diposting sebagai angka Romawi.
Bart Silverstrim
2
, atau sumpah serapah.
Sirex
8
atau itu adalah kiblat anak laki-laki remaja di internet - IP dari porno.
deanWombourne
10

Atau untuk keamanan dan kenyamanan tambahan, Anda harus benar-benar mempertimbangkan pengaturan kunci SSH ...

# ssh-keyget -t rsa
(terima semua default)

dan kamu mendapatkan ...

~ / .ssh / id_rsa
~ / .ssh / id_rsa.pub

Catatan Samping: Anda dapat mengganti nama file kunci Anda jika Anda menambahkan ~ / .ssh / config dengan sesuatu seperti konten berikut:

# cat ~ / .ssh / config
Tuan rumah *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Isi konten kunci publik Anda (akan menjadi satu baris):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

Sekarang login ke kotak target dan rekatkan baris itu ke ~ / .ssh / Authorized_keys.

Catatan-Sisi: baris pubkey berakhir dengan string yang dapat dibaca manusia seperti "ddopson @ hostname". Anda dapat mengubah ini menjadi lebih deskriptif dari kunci yang Anda gunakan (mis., Jika Anda memiliki banyak kunci). String itu TIDAK digunakan sebagai bagian dari otentikasi, dan hanya untuk menggambarkan kunci untuk manusia lain.

Itu dia. Sekarang ketika Anda ssh ke host, Anda bahkan tidak akan diminta kata sandi.

Jika Anda khawatir tentang menyimpan kunci pribadi Anda (id_rsa), Anda dapat menambahkan frasa sandi ke kunci itu sendiri (lihat ssh-keygen), melindunginya dari penggunaan oleh siapa saja yang memiliki akses ke file Anda. Anda kemudian dapat menggunakan ssh-agent untuk mendekripsi kunci dan menyimpannya dengan aman di memori sehingga dapat digunakan untuk beberapa koneksi SSH.

Dave Dopson
sumber
Seharusnya saya menambahkan windows-clientstag ke pertanyaan saya. Howto ini menjelaskan cara membuat kunci ssh dapat digunakan dengan Putty.
Jonas Heidelberg
Anda dapat melakukan hal yang persis sama dengan Putty. Anda dapat menambahkan kunci ke PutTTY, atau menggunakan PuTTYgen untuk menghasilkan kunci. Kisah yang sama, perintah yang berbeda. (Saya pikir itu ada di tab otentikasi dari params koneksi).
Dave Dopson
0

Kata sandi dienkripsi saat dikirimkan. Ya, kemungkinan kata sandi Anda disusupi karena dicetak pada log di server tujuan. Namun, saya juga akan mengatakan bahwa setiap kali Anda memasukkan kata sandi di komputer Anda, kata sandi itu mungkin terganggu karena mungkin ada perangkat lunak spyware di komputer Anda atau keylogger yang terpasang pada komputer Anda.

Jika Anda adalah satu-satunya administrator sistem itu dan Anda yakin bahwa sistem itu belum dikompromikan maka Anda dapat dengan relatif yakin berasumsi bahwa kata sandi Anda tidak dikompromikan seperti biasanya Anda menganggap bahwa tidak ada spyware pada komputer Anda karena Anda belum menyaksikan sesuatu yang mencurigakan. Anda dapat mengedit log di server itu dan menghapus referensi ke kata sandi Anda.

Kejadian ini adalah salah satu alasan mengapa menggunakan kunci SSH daripada kata sandi lebih baik. Kemudian, bahkan jika seseorang mendapatkan kata sandi yang Anda masukkan di komputer Anda untuk mendekripsi kunci pribadi di komputer Anda, mereka tetap tidak akan dapat mengakses server jauh; mereka memerlukan file kunci pribadi itu sendiri juga. Keamanan adalah semua tentang lapisan. Tidak ada yang sempurna, tetapi jika Anda menambahkan lapisan cukup maka cukup sulit bahwa penyerang hanya akan melanjutkan atau Anda akan menangkapnya karena itu membutuhkan lebih banyak waktu.

Saya tidak akan melakukan hal di atas jika kata sandi Anda melindungi informasi yang sangat sensitif atau sumber daya kritis. Itu tergantung pada seberapa sensitif kata sandi Anda.

sjbotha
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.