หากผู้ใช้บางคนไม่สามารถเข้าถึงคำสั่งได้sudo
3 ครั้งควรรายงานเรื่องนี้ให้ผู้ใช้รูททราบในล็อกการเข้าถึง \ error ..
รูทสามารถดูความพยายามเหล่านี้ (เช่นพยายามรหัสผ่าน) ในข้อความในบันทึกได้หรือไม่
หากผู้ใช้บางคนไม่สามารถเข้าถึงคำสั่งได้sudo
3 ครั้งควรรายงานเรื่องนี้ให้ผู้ใช้รูททราบในล็อกการเข้าถึง \ error ..
รูทสามารถดูความพยายามเหล่านี้ (เช่นพยายามรหัสผ่าน) ในข้อความในบันทึกได้หรือไม่
คำตอบ:
ไม่รหัสผ่านจะไม่ถูกบันทึกตามค่าเริ่มต้น นี่อาจเป็นปัญหาด้านความปลอดภัยเนื่องจากผู้ดูแลระบบคนอื่นอาจอ่านบันทึกการอนุญาตให้แอบอ้างเป็นผู้ใช้ในกรณีที่มีรหัสผ่านผิดพลาดเล็กน้อย
ความพยายามในการเข้าสู่ระบบสำเร็จและไม่ประสบความสำเร็จเข้าสู่ระบบ
/var/log/auth.log
ตัวอย่างของความพยายามที่ประสบความสำเร็จ:
Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
และไม่สำเร็จ:
Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost= user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
จะบันทึกความพยายามที่ล้มเหลวและบันทึกรหัสผ่านที่พิมพ์ผิดทั้งหมด 3 รายการ
รหัสผ่านสำหรับsudo
ความพยายามจะไม่แสดงหรือเก็บไว้
การปฏิบัติตามปกติคือไม่บันทึกรหัสผ่านที่ใช้ในการพยายามเข้าสู่ระบบแม้ว่ารหัสผ่านที่เป็นปัญหาจะไม่ถูกต้อง นี่เป็นเพียงเพราะรหัสผ่านอาจถูกต้องสำหรับผู้ใช้รายอื่นในระบบเดียวกัน (เช่นผู้ใช้พิมพ์ชื่อผู้ใช้ผิดรหัสผ่านไม่ใช่) หรืออาจเป็นการสลับรหัสผ่านเล็กน้อยจริง ๆ (ผู้ใช้พลาดจดหมายหรือดังนั้น)
กรณีเหล่านี้อาจปล่อยให้รหัสผ่านแบบธรรมดาบนระบบเสี่ยงต่อการรั่วไหลของข้อมูล (รหัสผ่านอาจเป็นรหัสผ่านที่ถูกต้องสำหรับระบบอื่นที่ไม่ใช่รหัสผ่าน แต่เป็นปัญหาของ "พวกเขา" ไม่ใช่ "พวกเรา")
ค่อนข้างเกี่ยวข้องกับกรณีนี้คือกรณีที่ผู้ใช้เขียนรหัสผ่านแทนชื่อผู้ใช้ (เช่นพวกเขามักจะใช้ระบบที่ป้อนชื่อผู้ใช้โดยอัตโนมัติ แต่ตอนนี้ไม่ได้ แต่ยังพิมพ์รหัสผ่านเป็นสิ่งแรก) ในกรณีนี้คุณจะมีรหัสผ่านแบบธรรมดาในบันทึก สิ่งนี้ไม่เหมาะสม แต่การเห็นชื่อผู้ใช้สำหรับความพยายามในการเข้าสู่ระบบที่ล้มเหลวตามปกตินั้นมีประโยชน์และไม่มีวิธีแก้ปัญหาง่าย ๆ สำหรับการจัดเก็บ แต่ไม่ป้อนรหัสผ่านเป็นชื่อผู้ใช้
ที่กล่าวว่าไม่มีอะไรจะหยุดผู้ดูแลระบบจากการให้ระบบบันทึกรหัสผ่านด้วย การเพิ่มการบันทึกอาจทำได้โดยการเพิ่มหนึ่งการเรียกsyslog()
และการคอมไพล์โมดูล PAM อีกครั้ง (PAM เป็นสิ่งที่ Ubuntu และsudo
ใช้ แต่แน่นอนเหมือนกันกับแอปพลิเคชันเว็บและทุกอย่างอีกด้วย)
ดังนั้นไม่ปกติผู้ดูแลระบบจะไม่เห็นรหัสผ่านที่ป้อนในระบบแต่ถ้าคุณป้อนรหัสผ่านของคุณในระบบที่คุณไม่ไว้วางใจคุณควรพูดอย่างเคร่งครัดพิจารณาว่ามันหายไปและเปลี่ยนมัน
โดยทั่วไปแล้วโปรแกรมน้อยมากในยูนิกซ์ที่เคยบันทึกรหัสผ่านจริงลงใน syslog หรือที่อื่น - แทบไม่มีเหตุผลที่ดีที่จะทำเช่นนั้นและมีเหตุผลที่ดีที่ไม่ควรทำ
เนื่องจากวิธีการแฮชรหัสผ่านระบบจึงไม่สามารถบอกความแตกต่างระหว่างรหัสผ่านผิดและการพิมพ์ผิด - หากรหัสผ่านของคุณคือ% $ zDF + 02G และคุณพิมพ์% $ ZDF + 02G มันจะทำให้คุณล้มเหลวอย่างหนัก หากคุณพิมพ์ 'rubberbabybuggybumpers' แต่การบันทึกรหัสผ่านที่ล้มเหลวจะให้ข้อมูลที่มีค่าแก่บุคคลที่สามที่เป็นอันตรายซึ่งกำลังอ่านบันทึก
กรณีหนึ่งที่ฉันพบว่าโปรแกรมนั้นมีความสามารถในการบันทึกรหัสผ่าน (และกรณีการใช้งานที่ควรเป็นความคิดที่ดี) อยู่ในเซิร์ฟเวอร์ RADIUS ซึ่งคุณสามารถสลับการบีบอัดข้อมูลเพิ่มเติมได้มากกว่า - โหมดดีบักที่คุณอาจต้องการและเพิ่มแฟล็กที่หมายถึง 'ใช่รวมถึงรหัสผ่าน' อย่างชัดเจนเพราะคุณมีไคลเอ็นต์ที่ไม่สามารถเชื่อมต่อและคุณต้องแยกแยะสาเหตุที่เป็นไปได้ทุกประการ ...