¿Está comprometida mi contraseña porque olvidé presionar Enter después del nombre de usuario ssh?

142

Acabo de intentar iniciar sesión en un servidor Fedora (versión 13 Goddard) usando SSH (PuTTY, Windows). Por alguna razón, Enterdespués de escribir mi nombre de usuario no se realizó y escribí mi contraseña y presioné Enter nuevamente. Solo me di cuenta de mi error cuando el servidor me saludó con un feliz

miusuario MICONTRASEÑA contraseña @ de server.example.com:

Corté la conexión en este punto y cambié mi contraseña en esa máquina (a través de una conexión SSH separada).

... ahora mi pregunta es: ¿un inicio de sesión fallido se almacena en texto sin formato en algún archivo de registro? En otras palabras, ¿acabo de forzar mi contraseña (ahora desactualizada) frente a los ojos del administrador remoto la próxima vez que escanee sus registros?

Actualizar

Gracias por todos los comentarios sobre la pregunta implícita "qué hacer para evitar esto en el futuro". Para conexiones rápidas y únicas, usaré esta función PuTTY ahora:

ingrese la descripción de la imagen aquí

para reemplazar la opción "nombre de usuario de inicio de sesión automático" donde estaba antes

ingrese la descripción de la imagen aquí

También comenzaré a usar las teclas ssh con más frecuencia, como se explica en los documentos PuTTY .

ssh  logging  password  windows  login 
Jonas Heidelberg
fuente
44
Esta es una muy buena pregunta. Creo que todos escribimos accidentalmente UsernamePassword en algún tipo de servicio en algún momento. Es demasiado fácil de hacer.
user606723
2
Otra buena razón para cambiar la contraseña con regularidad razonable.
Jonas
25
Puede evitar esto diciéndole a su cliente ssh que se conecte a username@server.example.com. Entonces solo se le pedirá la contraseña, lo que hace imposible un accidente como este. Sin embargo, aún mejor sería usar claves públicas / privadas.
Kevin
1
@Iceman gracias por esa pista, ya que sabía que PuTTY oculta el nombre de usuario debajo de Connection/Data/Login details/Auto-login usernameél, nunca se me ocurrió que el campo "Nombre de host (o dirección IP)" también podría aceptar nombre de usuario @ nombre de host como un cliente ssh de línea de comandos adecuado.
Jonas Heidelberg
44
Use autenticación basada en clave.
Zoredache

Respuestas:

148

En resumen: sí.

# ssh 192.168.1.1 -l "myuser mypassword"
^C
# egrep "mypassword" /var/log/auth.log
Oct 19 14:33:58 host sshd[19787]: Invalid user myuser mypassword from 192.168.111.78
Oct 19 14:33:58 host sshd[19787]: Failed none for invalid user myuser mypassword from 192.168.111.78 port 53030 ssh2
el wabbit
fuente
21

Si recuerdo bien, de hecho está registrado en el registro si el nivel de registro se establece en DEPURAR o RASTREAR.

EDITAR: está confirmado, intenté iniciar sesión en mi servidor y encontré esto en mis registros. 

Oct 19 14:34:24 sd-xxxx sshd[26563]: pam_unix(sshd:auth): authentication failure; logname=     uid=0 euid=0 tty=ssh ruser= rhost=xxx-xxx-xxx-xxx.rev.numericable.fr 
Oct 19 14:34:26 sd-xxxx sshd[26563]: Failed password for invalid user toto from xxx.xxx.xxx.xxx port 56685 ssh2

Nota: las IP están ocultas

Zenklys
fuente
51
Sus IP no están ocultas, solo se publican como números romanos.
Bart Silverstrim
2
o improperios.
Sirex
8
o es la meca de los adolescentes en Internet: la IP del porno.
deanWombourne
10

O, para mayor seguridad y conveniencia, debería considerar configurar las claves SSH ...

# ssh-keyget -t rsa
(aceptar todos los valores predeterminados)

y obtienes ...

~ / .ssh / id_rsa
~ / .ssh / id_rsa.pub

Nota al margen: puede cambiar el nombre de sus archivos clave si agrega ~ / .ssh / config con algo como lo siguiente:

# cat ~ / .ssh / config
Anfitrión *
IdentityFile ~ / .ssh / ddopson_employer_id_rsa

Cat el contenido de su clave pública (será una sola línea):

# cat ~ / .ssh / id_dsa.pub
ssh-rsa AAAAB3NzaC1kc3MAAACBAOOVBqYHAMQ8J ... BbCGGaeBpcqlALYvA == ddopson @ hostname

Ahora inicie sesión en el cuadro de destino y pegue esa línea en ~ / .ssh / optional_keys.

Nota al margen: la línea pubkey termina en una cadena legible para humanos como "ddopson @ hostname". Puede cambiar esto para que sea más descriptivo de la clave que está utilizando (por ejemplo, si tiene muchas claves). Esa cadena NO se usa como parte de la autenticación, y es solo para describir la clave para otros seres humanos.

Eso es. Ahora, cuando ssh al host, ni siquiera se le pedirá una contraseña.

Si le preocupa almacenar su clave privada (id_rsa), puede agregar una frase de contraseña a la clave misma (vea ssh-keygen), protegiéndola del uso por cualquier persona que tenga acceso a sus archivos. Luego puede usar ssh-agent para descifrar la clave y almacenarla de forma segura en la memoria para que pueda usarse para múltiples conexiones SSH.

Dave Dopson
fuente
Probablemente debería haber agregado una windows-clientsetiqueta a mi pregunta. Este tutorial explica cómo hacer que las claves ssh se puedan usar con PuTTY.
Jonas Heidelberg
puedes hacer exactamente lo mismo con PuTTY. Puede agregar claves a PuTTY o usar PuTTYgen para generar las claves. La misma historia, diferentes comandos. (Creo que está en la pestaña de autenticación de los parámetros de conexión).
Dave Dopson el
0

La contraseña se cifró cuando se transmitió. Sí, es posible que su contraseña se haya visto comprometida porque se imprimió en el registro del servidor de destino. Sin embargo, también diría que cada vez que ingrese su contraseña en su computadora puede verse comprometida ya que puede haber software espía en su computadora o un keylogger conectado a su computadora.

Si usted es el único administrador de ese sistema y cree que ese sistema no se ha visto comprometido, entonces puede suponer con relativa seguridad que su contraseña no se ha visto comprometida, como normalmente supone que no hay spyware en su computadora porque no lo ha hecho. Fue testigo de algo sospechoso. Puede editar el registro en ese servidor y eliminar la referencia a su contraseña.

Este incidente es una razón por la cual es mejor usar claves SSH en lugar de contraseñas. Entonces, incluso si alguien obtiene la contraseña que ingresó en su computadora para descifrar la clave privada en su computadora, todavía no podrá acceder al servidor remoto; también necesitan el archivo de clave privada. La seguridad se trata de capas. Nada es perfecto, pero si agrega suficientes capas, entonces es bastante difícil que el atacante simplemente avance o las atrape porque lleva más tiempo.

No haría lo anterior si su contraseña protege información muy sensible o recursos críticos. Depende de qué tan sensible sea su contraseña.

sjbotha
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.