Je regardais mon clavier et saisissais mon mot de passe parce que je pensais avoir déjà saisi mon identifiant. J'ai appuyé sur Enter, puis quand il a demandé le mot de passe, j'ai appuyé sur Ctrl+ c.
Devrais-je prendre des mesures de précaution pour m'assurer que le mot de passe n'est pas stocké quelque part en texte brut ou dois-je changer le mot de passe?
C'était également sur un tty sur le serveur Ubuntu 16.04 LTS.
Réponses:
Le problème est de savoir si votre mot de passe est enregistré dans le journal d'authentification.
Si vous vous connectez à une console de texte sous Linux et que vous avez appuyé sur Ctrl+C à l'invite du mot de passe, aucune entrée de journal n'est générée. Au moins, cela est vrai pour Ubuntu 14.04 ou Debian Jessie avec SysVinit, et probablement pour d’autres distributions Linux; Je n'ai pas vérifié si c'était toujours le cas sur un système avec Systemd. Appuyer sur Ctrl+ met fin Cau
login
processus avant qu'il ne génère une entrée de journal. Alors tu es en sécurité .D'autre part, si vous avez réellement fait une tentative de connexion, ce qui arrive si vous appuyez sur Enterou Ctrl+ Dà l'invite de mot de passe, le nom d' utilisateur que vous avez entré apparaît dans le texte brut dans les journaux d'authentification. Tous les échecs de connexion sont enregistrés. l'entrée de journal contient le nom du compte, mais n'inclut jamais rien au sujet du mot de passe (juste le fait que le mot de passe était incorrect).
Vous pouvez vérifier en consultant les journaux d'authentification. Sur Ubuntu 14.04 ou Debian Jessie avec SysVinit, les journaux d’authentification sont présents
/var/log/auth.log
.S'il s'agit d'une machine sous votre contrôle exclusif, et si elle ne se connecte pas à distance, et si le fichier journal n'a pas encore été sauvegardé, et si vous voulez et pouvez modifier le fichier journal sans rien casser, modifiez le journal. fichier pour supprimer le mot de passe.
Si votre mot de passe est enregistré dans les journaux du système, vous devez le considérer comme compromis et vous devez le changer. Les journaux peuvent fuir pour toutes sortes de raisons: sauvegardes, demandes d'assistance… Même si vous êtes le seul utilisateur de cette machine, ne le prenez pas.
Note: Je n'ai pas vérifié si Ubuntu 16.04 fonctionnait différemment. Cette réponse peut ne pas être généralisable à toutes les variantes d'Unix et certainement pas à toutes les méthodes de connexion. Par exemple, OpenSSH enregistre le nom d'utilisateur même si vous appuyez sur Ctrl+ Cà l'invite du mot de passe (avant que l'invite du mot de passe ne s'affiche, en fait).
la source
Dans votre cas, vous êtes en sécurité - vous avez entré un mot de passe et vous l'avez effacé. Un mot de passe saisi à l'invite de connexion suivi d'un mot de passe incorrect sera considéré comme une authentification ayant échoué et est partiellement enregistré pour se
btmp
connecter. Pour latty
console, c'est bien.Le mot de passe "accidentellement" tapé a été enregistré comme
UNKNOWN
, donc tout va bien ici. Cependant, les authentifications ayant échoué sur l'écran de connexion de l'interface graphique ne montrent pas les entrées de connexion ayant échoué.Y at-il quelque chose de bon à ce sujet? Bien . . . L’attaquant devrait d’abord avoir accès à votre système, et plus encore; il / elle devrait également avoir un accès root pour pouvoir lire le
btmp
journal. Ce qui signifie également pour un ordinateur à utilisateur unique - cela équivaut à avoir votre mot de passe déjà volé, de sorte que l'entrée est de toute façon inutile pour l'attaquant s'il connaît votre mot de passe. Vous pouvez déjà en déduire que le mot de passe dans l'entrée n'a été que partiellement enregistré, mais cela donne un avantage assez raisonnable à un attaquant. Il n'y a donc rien de bon à ce sujet.Devriez-vous changer le mot de passe? Probablement, juste pour être sûr à 100%. D'un autre côté, un attaquant devrait avoir accès à votre
btmp
journal, ce qui revient au même/etc/shadow
qu'y avoir accès ; il n'y a donc aucun avantage réel.Note latérale : Toute la sortie de mon Ubuntu 14.04
la source
/var/log/auth.log
? Oui, la réutilisation des mots de passe est un problème courant, je le sais très bien, donc je n'en réutilise pas.sudo rm /var/log/btmp
?