お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

#1 2015-11-14 21:38:07

fkuro
新しいメンバ
登録日: 2015-11-14

【ssh】アタックに使われているパスワードの確認

お世話になります。
困っているのではなくただの好奇心なのですが・・・

自宅でubuntu server の14.04を使っているのですが
先日から度々外部からsshのアタックを受けている状態です。

ログファイルを確認すると海外IPアドレスから来ているようですが、
実際にどのようなパスワードを入力してきているのか確認する手段はありますでしょうか?
(もしくは何かしらの法令でNGなのでしょうか?)

よろしくお願いします。

オフライン

 

#2 2015-11-16 00:08:06

favicon.ico
メンバ
登録日: 2010-09-06

Re: 【ssh】アタックに使われているパスワードの確認

ハニーポットを仕掛けるとログが収集できますね
kippo - https://github.com/desaster/kippo

オフライン

 

#3 2015-11-16 08:57:56

ry
メンバ
登録日: 2008-07-30

Re: 【ssh】アタックに使われているパスワードの確認

ubuntu (linux) にログイン パスワードを記録する機能は、標準では搭載されていません。
どうしてもということであれば、#2 のコメントで提示されているハニーポッドを仕掛ける方法もあります。
この場合は、全ての ssh 接続をハニーポッドで取り込んでしまうので、本来の ssh の待ち受けポートをデフォルトの 22 番から変更して運用する必要があります。

それ以外では、拒否されたログイン試行のユーザー、パスワードをログに記録するような pam モジュールを、自作して組み込む方法も考えられます。

オフライン

 

#4 2015-11-19 00:37:58

fkuro
新しいメンバ
登録日: 2015-11-14

Re: 【ssh】アタックに使われているパスワードの確認

お二方お返事ありがとうございます。

標準ではパスワードの確認はできないのですね。
pamモジュールの自作はちょっと敷居が高い(ように感じる)ので
ハニーポットを置いてみようと思います。

ありがとうございました。

オフライン

 

Board footer

Powered by FluxBB