저는 Ubuntu Server를 사용하고 있는데 잠재적인 공격자가 시도한 사용자 이름과 비밀번호를 기록하는 방법이 있는지 궁금합니다.
실패한 모든 시도를 grep하고 볼 수 있지만 /var/log/auth.log그들이 시도하는 사용자 이름과 비밀번호가 무엇인지 알고 싶습니다.
답변1
로그인 상세 정보를 설정한 후 실패한 사용자 이름1을 볼 수 있지만 sshd_config실패한 비밀번호는 볼 수 없습니다. 이는 잠재적인 보안 문제가 될 수 있고 사용자의 개인정보를 침해할 수 있기 때문입니다(예: 잘못된 비밀번호를 입력할 수 있음). 비밀번호는 일부 로그로 유출됩니다. 파일).
모든 비밀번호는 매우 민감한 데이터로 취급되어 메모리에만 저장되고 로그에는 기록되지 않으므로 보안 상황에서 유출되지 않습니다.
이러한 이유로 표준 프로덕션 보안 제품보다는 이 사용 사례에 맞게 특별히 맞춤화된 일부 허니팟을 사용해야 합니다.
1 man sshd_config자세한 내용은 참고자료를 참조하세요.
답변2
이 작업이 수행되지 않은 이유는 이 작업이 수행된 사이트에서 어떤 일이 발생했는지 살펴보면 쉽게 알 수 있습니다.
한번은 잘못된 비밀번호를 기록하는 웹사이트의 비밀번호 해시 강도를 높여달라는 요청을 받은 적이 있습니다(그들이 그렇게 하는 이유는 상상할 수 없습니다). 사용자 불편을 최소화하기 위해 먼저 로그인 시 자동으로 사용자를 변환하도록 했으나, 한동안 로그인하지 않은 사용자들 역시 보안 강화가 필요하기 때문에 추측된 비밀번호를 모두 더 높은 해시 기준으로 변환하여 크랙을 시도했습니다.
Facebook, 사전, 순열 등과 같은 대규모 유출로 인해 알려진 비밀번호 목록과 같이 제가 알고 있는 모든 것을 다국어로 시도한 후 일주일 동안 로그인하지 않은 사용자에 대해 찾을 수 없었던 약 4,000개의 비밀번호를 얻었습니다. . 금이 가다.
나는 지난 몇 년 동안의 잘못된 비밀번호 기록을 가져와서 해독할 수 없는 비밀번호에 대해 실행한 다음 크랙했습니다.남은 분기. 즉, 여러 관리자 계정을 포함하여 시스템의 하드 비밀번호 중 4분의 1을 추측했습니다. 즉, 4,000명이 아닌 3,000명의 사용자 비밀번호만 재설정하면 된다는 의미입니다.
따라서 악의적인 공격자에게 이러한 로그의 가치는 아무리 강조해도 지나치지 않다고 생각합니다.
실패한 비밀번호를 기록하는 타당한 이유는 없으며, 그렇게 하지 말아야 할 이유는 있습니다. 데이터 침해가 발생하면 많은 사용자의 로그인 정보가 노출됩니다. 이러한 "잘못된 비밀번호"는 다시 변경한 비밀번호이거나 시스템의 다른 계정에서 사용한 비밀번호이거나 다른 시스템(은행, 이메일 등)에서 사용한 비밀번호입니다.
이와 같은 로그를 유지하면 보안 측면에서 실질적인 이점 없이 사용자를 위험에 빠뜨리게 됩니다.