Mon mot de passe est-il compromis parce que j'ai oublié d'appuyer sur Entrée après le nom d'utilisateur ssh?

142

Je viens d'essayer de vous connecter à un serveur Fedora (version 13 Goddard) à l'aide de SSH (PuTTY, Windows). Pour une raison quelconque, la Entersaisie de mon nom d'utilisateur après la saisie a échoué. J'ai saisi mon mot de passe et appuyez à nouveau sur Entrée. Je ne me suis rendu compte de mon erreur que lorsque le serveur m’a salué de manière heureuse.

myusername MYPASSWORD @ mot de passe server.example.com:

J'ai interrompu la connexion à ce stade et changé mon mot de passe sur cette machine (via une connexion SSH distincte).

... maintenant ma question est: Est-ce qu'une telle connexion échouée est stockée en texte brut dans n'importe quel fichier journal? En d'autres termes, ai-je simplement forcé mon mot de passe (maintenant obsolète) devant les yeux de l'administrateur distant lors de la prochaine analyse de ses journaux?

Mise à jour

Merci pour tous les commentaires sur la question implicite "que faire pour éviter cela à l'avenir". Pour des connexions rapides et uniques, j'utiliserai maintenant cette fonctionnalité de PuTTY:

entrez la description de l'image ici

pour remplacer l'option "nom d'utilisateur" où vous vous connectez automatiquement

entrez la description de l'image ici

Je vais aussi commencer à utiliser les clés ssh plus souvent, comme expliqué dans la documentation de PuTTY .

Jonas Heidelberg
la source
4
C'est une très bonne question. Je pense que nous avons tous accidentellement tapé UsernamePassword dans une sorte de service à un moment donné. C'est beaucoup trop facile à faire.
user606723
2
Encore une autre bonne raison de changer le mot de passe avec une régularité raisonnable.
Jonas
25
Vous pouvez éviter cela en disant à votre client ssh de se connecter à [email protected] Ensuite, il vous suffira de saisir le mot de passe, ce qui rendra un accident comme celui-ci impossible. Mieux encore, utilisez simplement des clés publiques / privées.
Kevin
1
@ Iceman merci pour cet indice - puisque je savais que PuTTY cache le nom d'utilisateur, Connection/Data/Login details/Auto-login usernameil ne m'est jamais venu à l'esprit que le champ "Nom d'hôte (ou adresse IP)" pouvait également accepter le nom d'utilisateur @ nom d'hôte comme un client ssh en ligne de commande approprié.
Jonas Heidelberg
4
Utilisez l'authentification par clé.
Zoredache

Réponses:

148

En bref: oui.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2
le-wabbit
la source
21

Si je me souviens bien, il est effectivement enregistré dans le journal si le niveau de journalisation est défini sur DEBUG ou TRACE.

EDIT: C'est confirmé, j'ai essayé de me connecter à mon serveur et je l'ai trouvé dans mes journaux.

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Remarque: les adresses IP sont masquées

Zenklys
la source
51
Vos adresses IP ne sont pas cachées, elles sont simplement affichées en chiffres romains.
Bart Silverstrim
2
, ou explétives.
Sirex
8
ou c'est la Mecque des adolescents sur Internet - l'IP du porno.
Dean Wombourne
10

Ou pour plus de sécurité et de commodité, vous devriez vraiment envisager de configurer des clés SSH ...

# ssh-keyget -t rsa
(accepter tous les défauts)

et vous obtenez ...

~ / .ssh / id_rsa
~ / .ssh / id_rsa.pub

Note latérale: vous pouvez renommer vos fichiers de clés si vous ajoutez ~ / .ssh / config avec un contenu similaire au contenu suivant:

# cat ~ / .ssh / config
Hôte *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Cat le contenu de votre clé publique (sera une seule ligne):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ nom_hôte

Connectez-vous maintenant à la zone cible et collez cette ligne dans ~ / .ssh / registered_keys.

Note latérale: la ligne pubkey se termine par une chaîne lisible par l'homme, telle que "ddopson @ hostname". Vous pouvez changer cela pour qu'il soit plus descriptif de la clé que vous utilisez (par exemple, si vous avez beaucoup de clés). Cette chaîne n'est PAS utilisée dans le cadre de l'authentification et sert uniquement à décrire la clé destinée à d'autres êtres humains.

C'est ça. Maintenant, lorsque vous vous connectez à l'hôte, vous ne serez même pas invité à entrer un mot de passe.

Si vous souhaitez stocker votre clé privée (id_rsa), vous pouvez ajouter une phrase secrète à la clé elle-même (voir ssh-keygen), en la protégeant de toute utilisation par quiconque ayant accès à vos fichiers. Vous pouvez ensuite utiliser ssh-agent pour déchiffrer la clé et la stocker de manière sécurisée en mémoire afin qu'elle puisse être utilisée pour plusieurs connexions SSH.

Dave Dopson
la source
J'aurais probablement dû ajouter une windows-clientsétiquette à ma question. Ce guide explique comment rendre les clés ssh utilisables avec PuTTY.
Jonas Heidelberg
vous pouvez faire exactement la même chose avec PuTTY. Vous pouvez ajouter des clés dans PuTTY ou utiliser PuTTYgen pour générer les clés. Même histoire, différentes commandes. (Je pense que c'est dans l'onglet d'authentification des paramètres de connexion).
Dave Dopson
0

Le mot de passe était crypté lors de la transmission. Oui, il est possible que votre mot de passe ait été compromis car il a été imprimé dans le journal sur le serveur de destination. Cependant, je dirais aussi que chaque fois que vous entrez votre mot de passe sur votre ordinateur, il peut être compromis car il peut y avoir un logiciel espion sur votre ordinateur ou un enregistreur de frappe connecté à votre ordinateur.

Si vous êtes le seul administrateur de ce système et que vous pensez que ce système n'a pas été compromis, vous pouvez avec une certitude relative présumer que votre mot de passe n'a pas été compromis, tout comme vous supposez normalement qu'il n'y a pas de spyware sur votre ordinateur car vous ne l'avez pas encore fait. été témoin de quelque chose de suspect. Vous pouvez modifier le journal sur ce serveur et supprimer la référence à votre mot de passe.

Cet incident est l'une des raisons pour lesquelles il est préférable d'utiliser des clés SSH plutôt que des mots de passe. Ensuite, même si quelqu'un obtient le mot de passe que vous entrez sur votre ordinateur pour déchiffrer la clé privée de votre ordinateur, il ne pourra toujours pas accéder au serveur distant. ils ont également besoin du fichier de clé privée. La sécurité est tout au sujet des couches. Rien n’est parfait, mais si vous ajoutez suffisamment de couches, il est assez difficile que l’attaquant continue à avancer ou vous les attrapez, car cela prend plus de temps.

Je ne ferais pas ce qui précède si votre mot de passe protège des informations très sensibles ou des ressources critiques. Cela dépend de la sensibilité de votre mot de passe.

sjbotha
la source