Que peut-on apprendre d'un «utilisateur» d'une tentative SSH malveillante ayant échoué?
- Nom d'utilisateur entré (
/var/log/secure
) - Mot de passe entré (s'il est configuré, c'est-à-dire en utilisant un module PAM)
- Adresse IP source (
/var/log/secure
)
Existe-t-il des méthodes pour extraire autre chose? Qu'il s'agisse d'informations cachées dans les fichiers journaux, d'astuces aléatoires ou d'outils tiers, etc.