SSH tentativi di accesso non autorizzato

Controllando il file di log auth.log ho notato diversi tentativi di accesso non autorizzato , tra le informazioni del log ci sono data, ora, l'utente provato ma non la password utilizzata per tentare l'accesso.
Come posso fare che nel log mi salvi anche la password che è stata usata per tentare l'accesso ?

Grazie 1000 !

Dubito che serva a qualcosa, ma effettivamente si può fare.
http://silicon-verl.de/home/flo/software/pamcifs.html
http://ubuntuforums.org/showthread.php?t=840280&page=2
http://www.symantec.com/connect/article ... n-attempts

Ciao,

io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:

Codice: Seleziona tutto

state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.

Lorenzo

Ciao,

io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:

Codice: Seleziona tutto

state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.

Lorenzo

Grazie per la risposta
ho già preso i provvedimenti del caso per bloccare gli accessi, tra gli altri anche quello che mi hai proposto , ma quello che mi premeva sapere erano appunto le passwords utilizzate, perché analizzandole si possono capire tante cose, se viene utilizzato un dizionario, che dizionario ? solo ita o inglese ?
Ci hanno provato generando tutte le combinazioni di password possibili ?
Ci hanno provato inserendo dati mirati , il mio nome , il mio cognome o altri elementi della mia vita privata ?
Ci hanno provato inserendo dati "conoscibili" come password di accesso utilizzate nei forum o in altri siti che non utilizzano SSL e quindi "sniffabili" dalla rete locale ?

Una soluzione easy ancora non l'ho trovata, mi sono limitato solo a bloccare i servizi o a bannare gli IP.

Il dubbio mi rimane... sono "amici" o sconosciuti questi che ci provano ?

Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?

Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?

io personalmente utilizzo l'accesso in questo modo , più che per la sicurezza, perché è improponibile ad ogni accesso inserire una bistecca di 24 caratteri (maiuscole,minuscole,numeri e simboli) , non voglio disabilitare la password , mi preme sapere se è qualcuno a me "vicino" che ci prova, perché di cinesi che ci provano ne ho bloccati un caterva...

No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?

No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?

in pratica si !