Que peut-on apprendre sur un utilisateur d'une tentative SSH échouée?

Que peut-on apprendre d'un «utilisateur» d'une tentative SSH malveillante ayant échoué?

• Nom d'utilisateur entré ( /var/log/secure)
• Mot de passe entré (s'il est configuré, c'est-à-dire en utilisant un module PAM)
• Adresse IP source ( /var/log/secure)

Existe-t-il des méthodes pour extraire autre chose? Qu'il s'agisse d'informations cachées dans les fichiers journaux, d'astuces aléatoires ou d'outils tiers, etc.

Eh bien, un élément que vous n'avez pas mentionné est les empreintes digitales des clés privées qu'ils ont essayées avant d'entrer un mot de passe. Avec openssh, si vous définissez LogLevel VERBOSEdans /etc/sshd_config, vous les obtenez dans les fichiers journaux. Vous pouvez les comparer à la collection de clés publiques que vos utilisateurs ont autorisées dans leurs profils, pour voir si elles ont été compromises. Dans le cas où un attaquant a mis la main sur la clé privée d'un utilisateur et recherche le nom de connexion, le fait de savoir que la clé est compromise pourrait empêcher l'intrusion. Certes, c'est rare: qui possède une clé privée a probablement aussi trouvé le nom de connexion ...

En allant un peu plus loin dans le LogLevel DEBUG, vous pouvez également trouver le logiciel client / la version au format

Client protocol version %d.%d; client software version %.100s

Il imprimera également l'échange de clés, les chiffres, les MAC et les méthodes de compression disponibles pendant l'échange de clés.

Si les tentatives de connexion sont très fréquentes ou se produisent à toutes les heures de la journée, vous pouvez soupçonner que la connexion est effectuée par un bot.

Vous pourriez être en mesure de déduire les habitudes de l'utilisateur à partir de l'heure à laquelle il se connecte ou d'une autre activité sur le serveur, c'est-à-dire que les connexions sont toujours N secondes après un hit Apache à partir de la même adresse IP, ou une requête POP3, ou un git tirez.