24 通过失败的恶意SSH尝试可以了解有关“用户”的哪些信息? 输入的用户名(/var/log/secure) 输入密码(如果已配置,即使用PAM模块) 源IP地址(/var/log/secure) 是否有其他提取方法?无论是隐藏在日志文件中的信息,随机技巧还是来自第三方工具等。 linux ssh logging pam hacking — 埃比 source 您不应该启用PAM模块来记录失败的密码尝试。然后,您可以通过查看其他人的失败登录尝试(由于输入错误或其他原因)来轻松找出其他人的密码。 — Muzer's
27 好吧,您没有提到的一项是他们在输入密码之前尝试过的私钥的指纹。使用openssh,如果设置LogLevel VERBOSE为/etc/sshd_config,则将它们保存在日志文件中。您可以根据用户已在其个人资料中授权的公钥集合来检查它们,以查看它们是否遭到破坏。如果攻击者掌握了用户的私钥并正在寻找登录名,则知道该密钥已被泄露可以防止入侵。诚然,这很罕见:拥有私钥的人也可能也发现了登录名... — 达里奥 source
17 进一步了解LogLevel DEBUG,您还可以找到格式如下的客户端软件/版本 Client protocol version %d.%d; client software version %.100s 它还将打印在密钥交换期间可用的密钥交换,密码,MAC和压缩方法。 — 贾库耶 source
6 如果登录尝试非常频繁或全天都在发生,则您可能会怀疑该登录是由漫游器执行的。 从一天中用户登录或服务器上的其他活动开始,您也许可以推断出用户的习惯,即,登录始终是从同一IP地址,POP3请求或git命中Apache之后的N秒。拉。 — 多坦科恩 source