Voglio migliorare il mio log SSH. Mi piacerebbe fondamentalmente essere in grado di vedere i tentativi falliti con indirizzo IP e la password utilizzata. è possibile?
In questo momento vedo qualcosa di simile a questo:
Failed password for invalid user root from 121.10.140.215 port 60831 ssh2
Failed password for invalid user root from 121.10.140.215 port 56180 ssh2
Failed password for invalid user root from 121.10.140.215 port 56822 ssh2
Di solito viene considerata una cattiva forma per registrare password non riuscite, perché le password errate sono spesso molto simili alle password corrette con un solo colpo di chiave errato; oppure potrebbero essere la password corretta per lo stesso utente su un altro server. Scrivere le password nei file, beh, è raro che sia appropriato.
Detto questo, è possibile registrare le password, con una minima modifica del codice sorgente del server SSH. Io proprio non lo consiglio affatto.
Quale sarebbe l'uso di tali informazioni? Vuoi sapere se l'attaccante è solo bruteforcing o in realtà ha buone ipotesi? Qualcosa di interessante da registrare, invece, sarebbe un login di successo. In questo modo se vedi un gruppo di tentativi falliti e uno riuscito, ne sai di più! C'è un buon documento di Nist sulla gestione della registrazione di sicurezza.