小智 27
嗯,你没有提到的一个项目是他们在输入密码之前尝试的私钥的指纹。使用openssh,如果您LogLevel VERBOSE在 中设置/etc/sshd_config,则会在日志文件中获取它们。您可以根据用户在其配置文件中授权的公钥集合来检查它们,以查看它们是否已被盗用。如果攻击者掌握了用户的私钥并正在寻找登录名,则知道密钥已泄露可以防止入侵。诚然,这很罕见:拥有私钥的人可能也发现了登录名......
Jak*_*uje 17
再深入一点LogLevel DEBUG,您还可以找到格式中的客户端软件/版本
Client protocol version %d.%d; client software version %.100s
它还将打印密钥交换期间可用的密钥交换、密码、MAC 和压缩方法。
如果登录尝试非常频繁或在一天中的所有时间都发生,那么您可能会怀疑登录是由机器人执行的。
您可能能够从用户登录的时间或服务器上的其他活动推断出用户的习惯,即登录总是在来自同一 IP 地址的 Apache、或 POP3 请求或 git 命中后 N 秒拉。
| 归档时间: |
|
| 查看次数: |
2967 次 |
| 最近记录: |