때때로 출력에 다음과 같은 이상한 항목이 표시됩니다 last.
(unknown :0 :0 Tues Jul 4 06:51 - 06:51 (00:00)
Afaik, 이런 일은 일어나서는 안 되며 다른 사람에게 이런 일이 발생했다는 정보를 찾을 수 없습니다.
왜, 더 구체적으로 무엇이 이런 일이 발생하는지 궁금합니다. 이에 대한 정당한 이유가 있기를 바랍니다(누군가 sshd를 통해 내 컴퓨터를 성공적으로 악용하는 경우 제외).
나는 auth.log 파일에서 내가 사용해야 했던 고유 키워드 "unknown"을 검색했고, 시간 범위와 일치하는 몇 가지 이상한 항목을 찾았습니다.
# grep --color=auto -A 10 -B 10 "unknown\|Unknown" auth.log.*
auth.log.1-Jul 4 06:51:41 magic gdm-launch-environment]: pam_unix(gdm-launch-environment:session): session opened for user Debian-gdm by (uid=0)
auth.log.1-Jul 4 06:51:41 magic systemd-logind[3291]: New session c1 of user Debian-gdm.
auth.log.1-Jul 4 06:51:41 magic systemd: pam_unix(systemd-user:session): session opened for user Debian-gdm by (uid=0)
auth.log.1-Jul 4 06:51:42 magic CRON[3329]: pam_unix(cron:session): session closed for user logcheck
auth.log.1-Jul 4 06:51:42 magic polkitd(authority=local): Registered Authentication Agent for unix-session:c1 (system bus name :1.21 [gnome-shell --mode=gdm], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8)
auth.log.1-Jul 4 06:51:52 magic gdm-password]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=user
auth.log.1:Jul 4 06:52:03 magic gdm-password]: pam_unix(gdm-password:session): session opened for user user by (unknown)(uid=0)
auth.log.1-Jul 4 06:52:03 magic systemd-logind[3291]: New session 3 of user user.
auth.log.1-Jul 4 06:52:03 magic systemd: pam_unix(systemd-user:session): session opened for user user by (uid=0)
auth.log.1-Jul 4 06:52:03 magic polkitd(authority=local): Unregistered Authentication Agent for unix-session:c1 (system bus name :1.21, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8) (disconnected from bus)
auth.log.1-Jul 4 06:52:04 magic polkitd(authority=local): Registered Authentication Agent for unix-session:3 (system bus name :1.47 [/usr/bin/gnome-shell], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.utf8)
auth.log.1-Jul 4 06:55:58 magic gnome-keyring-daemon[5159]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
이제 나는 아직 시간을 내어 PAM을 배우지 않았기 때문에 PAM이 어떻게 작동하는지 잘 이해하지 못한다는 점을 인정해야 합니다. 그래서 이 메시지는 나에게 다소 신비스럽습니다. 그러나 마지막 항목인 이 항목은 특히 흥미로워 보입니다.
auth.log.1-Jul 4 06:55:58 magic gnome-keyring-daemon[5159]: **couldn't allocate secure memory to keep passwords and or keys from being written to the disk**
저는 어둠 속에서 노력하고 있지만 제가 보기에는 어쩌면... (편집증적이고 순진하고 냉소적으로 들릴 수도 있습니다. 이것이 바로 제가 여기 있는 이유입니다.) 다음과 같은 가능성:
- 수년에 걸쳐 무해하고 우연한 실패가 많이 있었습니다. 아마도 SSH를 시도할 때 메모리 부족으로 인해 이런 일이 발생한 것일까요? 이 특정 기계에는 충분한 RAM이 있기 때문에 이것은 모호한 설명입니다. 지난번에 이런 일이 발생했을 때 자고 있었을 것이라고 확신하므로 그것이 나라고 믿지 않습니다... 하지만 제가 처음으로 이것을 발견한 것은 대략 다음과 같습니다. 3년 전과 몇몇 다른 컴퓨터에서는 내 기억력이 좋지 않아서 정확히 찾아내기가 어렵습니다.
또는
- 나보다 더 많은 리소스, 시간, IQ 및/또는 돈을 가진 누군가가 내 개인용 컴퓨터에서 실행 중인 유일한 청취 서비스인 sshd를 통해 내 컴퓨터에 액세스하려고 합니다. (일반적으로 내 sshd 구성은 localhost만 수신하므로 tor 네트워크를 통해서만 액세스할 수 있으므로 이것이 더욱 신비롭고 믿기가 더 어렵습니다.아니요일종의 표적 공격. 이 이론의 문제점은 내가 아는 한 이러한 유형의 침입을 정당화할 이유가 없다는 것입니다(법적으로 말하면, 나는 지구상에서 정직한 삶을 살려고 노력하는 또 다른 인간이기 때문에).
이러한 이상한 오류를 설명할 수 있는 합리적인 이유가 무엇인지 파악하는 데 어려움을 겪고 있습니다. openssh-server 데몬을 실행하는 몇 가지 다른 Linux(Debian 기반) 시스템에서 이 현상을 발견했습니다. 이것이 도움이 된다면 내 sshd 구성은 일반적으로 다음과 같습니다.
Port 222
ListenAddress 127.127.127.127:222
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
# Insecure ancient DSA
#HostKey /etc/ssh/ssh_host_dsa_key
# Not certain whether we ought to trust elliptic curve or NIST
#HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 4096
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 90
PermitRootLogin no
StrictModes yes
# Never use this deprecated crap
RSAAuthentication no
PubkeyAuthentication yes
# lock down to this group
AllowGroups ssh-users
AuthorizedKeysFile %h/.ssh/authorized_keys
IgnoreRhosts yes
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
# extra logging info for sftp
Subsystem sftp /usr/lib/openssh/sftp-server -f auth -l info
UsePAM yes
# hardened ciphering
MACs [email protected],[email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,[email protected]
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
어떤 통찰력이나 도움이라도 대단히 감사하겠습니다. 감사해요.