当您不小心尝试使用密码凭据连接到错误的服务器时,管理员是否有可能读取并记录您使用的密码?
Ste*_*ris 215
简单地说:是的
更多详情...
如果您连接到我的机器,那么您不知道我运行的是普通ssh服务器,还是经过修改以写出传递密码的服务器。
此外,我不一定需要修改sshd,但可以编写一个 PAM 模块(例如使用pam_script),它将传递您的密码。
所以,是的。 切勿将您的密码发送到不受信任的服务器。机器的所有者可以轻松地将其配置为记录所有尝试使用的密码。
(事实上,这在信息安全领域并不少见;设置一个蜜罐服务器来记录尝试的密码)
ilk*_*chu 52
是的。
密码是在建立加密连接后发送的,但远程服务器以明文形式获取密码。
如果您关心这一点,最好和最简单的解决方案是使用 SSH 密钥。
如果您的机器无法接受密钥,那么一种解决方案是创建一个安全存储密码的工具,然后sshpass根据您连接的服务器始终发送正确的密码。
现在,密码以明文形式发送的原因是它将处理和存储它的所有决定都留给了远程端,客户端可能完全愚蠢。在过去十年左右的时间里,Linux 和 BSD 系统中使用了几种不同的密码散列(存储)格式(crypt(3)),它们都不需要客户端的支持。
虽然这也部分是因为历史(即它一直都是这样)。有更好的质询-响应身份验证协议,甚至可以使用密码。例如SRP,它在身份验证期间为各方提供共享秘密。它已经在一些 SSH 服务器上实现了,但是 OpenSSH 的补丁是针对(非常)旧版本的。
小智 11
为了建立在 Stephen Harris 的回答之上,这是我构建的一个实时视图,它显示了修改后的 PAM 身份验证脚本在通过 ssh(一种蜜罐)连接到一个盒子时能够捕获的内容。我使用 PAM 库 lib-storepw 的修改版本。
https://livesshattack.net/about
| 归档时间: |
|
| 查看次数: |
55438 次 |
| 最近记录: |