क्या मेरे पासवर्ड से छेड़छाड़ की गई है क्योंकि मैं ssh यूजरनेम के बाद एंटर हिट करना भूल गया हूँ?


142

मैंने अभी SSH (PuTTY, Windows) का उपयोग करके फेडोरा (रिलीज 13 गोडार्ड) सर्वर में प्रवेश करने की कोशिश की है । किसी कारण से Enterटाइप करने के बाद मेरा यूज़रनेम नहीं चला और मैंने अपना पासवर्ड टाइप किया और फिर से एंटर मारा। मुझे केवल अपनी गलती का एहसास हुआ जब सर्वर ने मुझे खुश होकर बधाई दी

myusername MYPASSWORD @ server.example.com का पासवर्ड:

मैंने इस बिंदु पर कनेक्शन तोड़ दिया और उस मशीन पर (एक अलग एसएसएच कनेक्शन के माध्यम से) अपना पासवर्ड बदल दिया।

... अब मेरा सवाल यह है कि क्या इस तरह की विफल लॉगिन किसी भी लॉगफाइल में सादे पाठ में संग्रहीत है? दूसरे शब्दों में, क्या मैंने अगली बार अपने लॉग को स्कैन करने के दौरान रिमोट एडमिन की आँखों के सामने अपना (अब पुराना) पासवर्ड डालने के लिए मजबूर किया है?

अपडेट करें

निहित प्रश्न "भविष्य में इसे रोकने के लिए क्या करना है" के बारे में सभी टिप्पणियों के लिए धन्यवाद। त्वरित, एकमुश्त कनेक्शन के लिए, मैं अब इस PuTTY सुविधा का उपयोग करूंगा:

यहां छवि विवरण दर्ज करें

जहां यह फिर से "ऑटो-लॉगिन उपयोगकर्ता नाम" विकल्प को बदलना था

यहां छवि विवरण दर्ज करें

मैं भी अक्सर ssh कुंजियों का उपयोग करना शुरू कर दूंगा, जैसा कि PuTTY डॉक्स में बताया गया है


4
यह वास्तव में एक अच्छा सवाल है। मुझे लगता है कि हमने सभी गलती से किसी समय में किसी प्रकार की सेवा में UsernamePassword टाइप किया है। यह करना बहुत आसान है।
user606723

2
फिर भी उचित नियमितता के साथ पासवर्ड बदलने का एक और अच्छा कारण है।
जोनास

25
आप अपने ssh क्लाइंट को username@server.example.com से कनेक्ट करने के लिए कहकर इससे बच सकते हैं। तब आपको केवल पासवर्ड के लिए संकेत दिया जाएगा, जिससे यह असंभव हो सकता है। हालांकि, यह भी बेहतर होगा कि आप सार्वजनिक / निजी कुंजी का उपयोग करें।
केविन

1
@ संकेत उस संकेत के लिए धन्यवाद - जब से मुझे पता था कि PuTTY उपयोगकर्ता नाम छुपाता है उसके तहत Connection/Data/Login details/Auto-login usernameयह कभी नहीं हुआ कि "होस्ट नाम (या आईपी पता)" फ़ील्ड भी उचित कमांड लाइन ssh क्लाइंट की तरह उपयोगकर्ता नाम @ hostname स्वीकार कर सके।
जोनास हीडलबर्ग

4
कुंजी-आधारित प्रमाणीकरण का उपयोग करें।
ज़ॉडेचे

जवाबों:


148

संक्षेप में: हाँ।

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2

21

यदि मुझे अच्छी तरह से याद है, तो लॉग में DEBUG या TRACE पर सेट होने पर यह वास्तव में लॉग इन में पंजीकृत है।

संपादित करें: यह पुष्टि की है, मैं अपने सर्वर में प्रवेश करने की कोशिश की और यह मेरे लॉग में पाया।

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

नोट: आईपी के छिपे हुए हैं


51
आपके आईपी छिपे नहीं हैं, वे सिर्फ रोमन अंकों के रूप में पोस्ट किए गए हैं।
बार्ट सिल्वरस्ट्रिम

2
, या छूटना।
14

8
या यह इंटरनेट पर किशोर लड़कों का मेका है - पोर्न का आईपी।
deanWombourne

10

या अतिरिक्त सुरक्षा और सुविधा दोनों के लिए, आपको वास्तव में SSH कुंजी सेट करने पर विचार करना चाहिए ...

# ssh-keyget -t rsa
(सभी चूक स्वीकार करें)

और तुम जाओ ...

~ / .Ssh / id_rsa
~ / .Ssh / id_rsa.pub

साइड-नोट: अगर आप निम्नलिखित सामग्री की तरह कुछ के साथ ~ / .ssh / config जोड़ते हैं, तो आप अपनी प्रमुख फ़ाइलों का नाम बदल सकते हैं:

# बिल्ली ~ /। ssh / config
मेज़बान *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

आपकी सार्वजनिक कुंजी की सामग्री को कैट (एक पंक्ति होगी):

# बिल्ली ~ /। ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

अब लक्ष्य बॉक्स में लॉग इन करें और उस लाइन को ~ / .ssh / अधिकृत_की में पेस्ट करें।

साइड-नोट: जघन रेखा "ddopson @ hostname" जैसे मानव पठनीय स्ट्रिंग में समाप्त होती है। आप इसे उस कुंजी के अधिक वर्णनात्मक होने के लिए बदल सकते हैं जिसका आप उपयोग कर रहे हैं (जैसे, यदि आपके पास बहुत सारी कुंजियाँ हैं)। उस स्ट्रिंग को प्रमाणीकरण के एक भाग के रूप में उपयोग नहीं किया जाता है, और यह केवल अन्य मनुष्यों की कुंजी का वर्णन करने के लिए है।

बस। अब जब आप मेजबान के पास जाते हैं, तो आपको पासवर्ड के लिए भी संकेत नहीं दिया जाएगा।

यदि आप अपनी निजी कुंजी (id_rsa) को संग्रहीत करने के बारे में चिंतित हैं, तो आप कुंजी को स्वयं एक पासफ़्रेज़ जोड़ सकते हैं (ssh-keygen देखें), इसे किसी ऐसे व्यक्ति द्वारा उपयोग करने से बचाना, जिसकी आपकी फ़ाइलों तक पहुँच हो। फिर आप ssh-agent का उपयोग कर सकते हैं कुंजी को डिक्रिप्ट करने और इसे सुरक्षित रूप से मेमोरी में स्टोर करने के लिए ताकि इसका उपयोग कई SSH कनेक्शन के लिए किया जा सके।


मुझे windows-clientsअपने सवाल में एक टैग जोड़ना चाहिए था । यह कैसे करने के लिए PuTTY के साथ प्रयोग करने योग्य चाबियाँ बनाने के लिए बताते हैं।
जोनास हीडलबर्ग

आप PuTTY के साथ सटीक कार्य कर सकते हैं। आप PuTTY में कुंजियाँ जोड़ सकते हैं, या चाबियाँ बनाने के लिए PuTTYgen का उपयोग कर सकते हैं। एक ही कहानी, विभिन्न आदेश। (मुझे लगता है कि यह कनेक्शन परम के प्रमाणीकरण टैब में है)।
डेव डॉपसन

0

प्रेषित होने पर पासवर्ड एन्क्रिप्ट किया गया था। हां, यह संभव है कि आपके पासवर्ड से छेड़छाड़ की गई थी क्योंकि यह गंतव्य सर्वर पर लॉग में मुद्रित किया गया था। हालाँकि, मैं यह भी कहूंगा कि हर बार जब आप अपने कंप्यूटर पर अपना पासवर्ड डालते हैं, तो इससे समझौता हो सकता है क्योंकि आपके कंप्यूटर पर स्पाइवेयर सॉफ़्टवेयर हो सकते हैं या आपके कंप्यूटर से जुड़ा एक कीलॉगर हो सकता है।

यदि आप उस सिस्टम के एकमात्र प्रशासक हैं और आप मानते हैं कि उस सिस्टम से समझौता नहीं किया गया है, तो आप रिश्तेदार निश्चितता के साथ यह मान सकते हैं कि आपके पासवर्ड से अभी समझौता नहीं किया गया है जैसा कि आप सामान्य रूप से मानते हैं कि आपके कंप्यूटर पर कोई स्पाइवेयर नहीं है क्योंकि आपने ऐसा नहीं किया है कुछ भी संदिग्ध देखा। आप उस सर्वर पर लॉग को संपादित कर सकते हैं और अपने पासवर्ड का संदर्भ हटा सकते हैं।

यह घटना एक कारण है कि पासवर्ड के बजाय एसएसएच कुंजी का उपयोग करना बेहतर है। फिर, भले ही कोई व्यक्ति आपके कंप्यूटर पर आपके कंप्यूटर पर निजी कुंजी को डिक्रिप्ट करने के लिए आपके द्वारा दर्ज किया गया पासवर्ड प्राप्त कर ले, वे अभी भी रिमोट सर्वर तक नहीं पहुंच पाएंगे; उन्हें निजी कुंजी फ़ाइल की भी आवश्यकता है। सुरक्षा सभी परतों के बारे में है। कुछ भी सही नहीं है, लेकिन यदि आप पर्याप्त परतें जोड़ते हैं तो यह काफी मुश्किल है कि हमलावर बस आगे बढ़ेगा या आप उन्हें पकड़ लेंगे क्योंकि इसमें अधिक समय लगता है।

यदि आपका पासवर्ड बहुत संवेदनशील जानकारी या महत्वपूर्ण संसाधनों की सुरक्षा करता है तो मैं ऊपर नहीं करूंगा। यह इस बात पर निर्भर करता है कि आपका पासवर्ड कितना संवेदनशील है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.