Cosa si può imparare su un utente da un tentativo SSH fallito?

Cosa può essere appreso su un "utente" da un tentativo SSH dannoso non riuscito?

• Nome utente inserito ( /var/log/secure)
• Password inserita (se configurata, ovvero utilizzando un modulo PAM)
• Indirizzo IP di origine ( /var/log/secure)

Esistono metodi per estrarre qualcos'altro? Che si tratti di informazioni nascoste in file di registro, trucchi casuali o da strumenti di terze parti ecc.

Bene, un elemento che non hai menzionato sono le impronte digitali delle chiavi private che hanno provato prima di inserire una password. Con openssh, se si imposta LogLevel VERBOSEin /etc/sshd_config, che li ottenete nei file di registro. Puoi confrontarli con la raccolta di chiavi pubbliche che i tuoi utenti hanno autorizzato nei loro profili, per vedere se sono stati compromessi. Nel caso in cui un utente malintenzionato abbia acquisito la chiave privata di un utente e stia cercando il nome di accesso, sapere che la chiave è compromessa potrebbe impedire l'intrusione. Certo, è raro: chi possiede una chiave privata ha probabilmente scoperto anche il nome di accesso ...

Andando un po 'più in là LogLevel DEBUG, puoi anche scoprire il software client / versione in formato

Client protocol version %d.%d; client software version %.100s

Stamperà anche lo scambio di chiavi, le cifre, i MAC e i metodi di compressione disponibili durante lo scambio di chiavi.

Se i tentativi di accesso sono molto frequenti o si verificano a tutte le ore del giorno, si potrebbe sospettare che l'accesso venga eseguito da un bot.

Potresti essere in grado di dedurre le abitudini dell'utente dall'ora del giorno in cui accedono o da altre attività sul server, vale a dire che gli accessi sono sempre N secondi dopo un hit Apache dallo stesso indirizzo IP, o una richiesta POP3 o un git Tirare.