Что можно узнать о пользователе из неудачной попытки SSH?

Что можно узнать о «пользователе» из неудачной попытки злонамеренного SSH?

• Введено имя пользователя ( /var/log/secure)
• Пароль введен (если настроен, то есть с использованием модуля PAM)
• IP-адрес источника ( /var/log/secure)

Существуют ли способы извлечения чего-либо еще? Будь то информация, скрытая в лог-файлах, случайных уловках или от сторонних инструментов и т. Д.

Что ж, элемент, который вы не упомянули, это отпечатки пальцев закрытых ключей, которые они пробовали перед вводом пароля. С openssh, если вы установите LogLevel VERBOSEв /etc/sshd_config, вы получите их в лог - файлы. Вы можете сравнить их с коллекцией открытых ключей, которые ваши пользователи авторизовали в своих профилях, чтобы узнать, не были ли они скомпрометированы. В случае, если злоумышленник завладеет закрытым ключом пользователя и ищет имя для входа, знание того, что ключ скомпрометирован, может предотвратить вторжение. Правда, это редко: кто владеет секретным ключом, вероятно, тоже узнал имя для входа ...

Пройдя немного дальше LogLevel DEBUG, вы также можете узнать клиентское программное обеспечение / версию в формате

Client protocol version %d.%d; client software version %.100s

Он также напечатает обмен ключами, шифры, MAC-адреса и методы сжатия, доступные во время обмена ключами.

Если попытки входа в систему очень часты или происходят в любое время суток, то вы можете заподозрить, что вход в систему выполняется ботом.

Возможно, вы сможете определить привычки пользователя по времени дня, когда они вошли в систему, или по другим действиям на сервере, т. Е. При входе в систему всегда N секунд после попадания Apache с того же IP-адреса, запроса POP3 или git. вытащить.