sudo: 3 गलत पासवर्ड प्रयास - क्या रूट को स्पष्ट पाठ में देख सकते हैं?

यदि कुछ उपयोगकर्ता sudo3 बार के साथ कुछ कमांड का उपयोग नहीं कर सकते हैं , तो इसे एक्सेस लॉग \ एरर में रूट उपयोगकर्ता को सूचित किया जाना चाहिए।

रूट लॉग में पाठ में इन प्रयासों (जैसे पासवर्ड की कोशिश की) को देख सकता है?

नहीं, पासवर्ड डिफ़ॉल्ट रूप से लॉग नहीं होते हैं। यह एक सुरक्षा समस्या होगी, क्योंकि लॉग को अन्य व्यवस्थापकों द्वारा पढ़ा जा सकता है, जिससे उपयोगकर्ता को थोड़े से गलत पासवर्ड के मामले में प्रतिरूपण करने की अनुमति मिलती है।

लॉगिन प्रयास सफल और असफल लॉग इन हैं

/var/log/auth.log

एक सफल प्रयास का उदाहरण:

Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

और असफल:

Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

यह विफल प्रयास को लॉग करता है और कुल 3 गलत टाइप किए गए पासवर्ड भी लॉग करता है।

sudoप्रयासों के पासवर्ड कभी दिखाए या संग्रहीत नहीं किए जाते हैं।

सामान्य अभ्यास लॉगिन प्रयासों में उपयोग किए जाने वाले पासवर्ड को लॉग नहीं करना है, भले ही प्रश्न में पासवर्ड अमान्य हो। यह केवल इसलिए है क्योंकि पासवर्ड उसी सिस्टम पर किसी अन्य उपयोगकर्ता के लिए मान्य हो सकता है (जैसे उपयोगकर्ता ने अपना उपयोगकर्ता नाम गलत किया था , पासवर्ड नहीं), या वास्तविक पासवर्ड का एक तुच्छ विकल्प हो सकता है (उपयोगकर्ता ने एक पत्र या तो याद किया)।

या तो उन मामलों में सिस्टम पर एक सादा पासवर्ड रखा जाता है, जो कुछ सूचना लीक के लिए असुरक्षित होता है। (पासवर्ड किसी अन्य सिस्टम के लिए मान्य पासवर्ड हो सकता है, जिस पर इसे दर्ज किया गया था, लेकिन यह वास्तव में "उन्हें" के लिए एक समस्या है, "हमें" नहीं।)

कुछ हद तक यह उन मामलों से संबंधित है जहां कोई उपयोगकर्ता अपने उपयोगकर्ता नाम के स्थान पर अपना पासवर्ड लिखता है (जैसे कि वे आमतौर पर एक प्रणाली का उपयोग करते हैं जो उपयोगकर्ता नाम स्वतः दर्ज करता है, लेकिन अब नहीं है, लेकिन अभी भी पासवर्ड को पहली चीज के रूप में टाइप किया है)। उस स्थिति में, आपके पास लॉग में एक सादा पासवर्ड होगा। यह इष्टतम नहीं है, लेकिन सामान्य रूप से विफल लॉगिन प्रयासों के लिए उपयोगकर्ता नाम देखना उपयोगी है, और उन्हें संग्रहीत करने के लिए कोई सरल समाधान नहीं है, लेकिन उपयोगकर्ता नाम के रूप में दर्ज पासवर्ड नहीं है।

उस ने कहा, सिस्टम के व्यवस्थापक को पासवर्ड लॉग करने से रोकने के लिए कुछ भी नहीं है। लॉगिंग जोड़ना संभवतया एक कॉल जोड़कर syslog()और PAM मॉड्यूल को फिर से जोड़कर किया जा सकता है । (PAM जा रहा है जो उबंटू और sudoउपयोग करता है, लेकिन निश्चित रूप से वेब ऐप और बाकी सब के लिए भी यही लागू होता है।)

तो, नहीं, आमतौर पर एक प्रशासक सिस्टम पर दर्ज किए गए पासवर्ड को नहीं देख सकता है, लेकिन यदि आप किसी ऐसे सिस्टम पर अपना पासवर्ड दर्ज करते हैं, जिस पर आपको भरोसा नहीं है, तो आपको सख्ती से बोलना चाहिए, इसे खो जाने पर विचार करें और इसे बदल दें।

अधिक आम तौर पर बोलते हुए, यूनिक्स में बहुत कम प्रोग्राम कभी भी वास्तविक पासवर्ड को सिसलॉग या अन्य जगहों पर लॉग इन करते हैं - ऐसा करने का लगभग कोई अच्छा कारण नहीं है, और न करने के लिए अच्छे कारण हैं ।

पासवर्ड को हैश किए जाने के कारण, सिस्टम एक गलत पासवर्ड और टाइपो के बीच का अंतर नहीं बता सकता है - यदि आपका पासवर्ड% $ zDF + 02G था और आपने% ZDF + 02G टाइप किया तो यह आपको उतना ही असफल कर देगा। यदि आप 'रबरबायबगबंपर्स' टाइप करते हैं, लेकिन असफल पासवर्ड लॉग करने से लॉग को पढ़ने वाले दुर्भावनापूर्ण तीसरे पक्ष को बहुमूल्य जानकारी मिल जाएगी ।

एक मामला जो मैंने पाया है, जहां एक प्रोग्राम में पासवर्ड लॉग करने की क्षमता थी (और एक उपयोग का मामला जहां यह एक अच्छा विचार होगा) RADIUS सर्वर में है, जहां आप अधिक जानकारी-की तुलना में एक चुटकी स्विच में कर सकते हैं- आप-शायद-डिबग मोड चाहते थे और फिर स्पष्ट रूप से उस झंडे को जोड़ दें जिसका अर्थ है ' पासवर्ड सहित ', क्योंकि आपको कनेक्ट करने में विफल ग्राहक मिल गया है और आपको हर संभव कारण से शासन करने की आवश्यकता है ...