Mots de passe des attaques ssh


#1

salut
j’ai beaucoup d’attaques par ssh sur l’ordi de ma mère
je me demandais s’il était possible de connaître les mots de passe utilisés


#2

Non.
D’abord parce que toute la communication client/serveur ssh est chiffrée, donc pas possible de l’intercepter et de regarder ce qu’il y a dedans.
Ensuite, même si par exemple tu réécrivais le serveur pour intercepter ce qu’il reçoit, le mot de passe que reçoit le serveur est chiffré par le client avant d’être envoyé donc ce n’est pas le mot de passe qu’il reçoit, mais la version chiffrée qu’il compare avec la version chiffrée du mot de passe.
A aucun moment tu n’as moyen de voir le mot de passe en clair dans le systéme (sauf lors de la saisie sur le client).

Par contre, tu peux connaitre les identifiants utilisés.
Installe logwatch, ça te fera un rapport de synthèse par mail de toutes les tentatives d’accés ssh (et plein d’autres choses), et comment elles échouent.
Pour infos, sur mon serveur domestique à la maison, sans site web hébergé juste un peu de mail, donc qui devrait être ignoré de tout le monde sur le net, j’ai plusieurs centaines de tentatives par jour (sans succés depuis des années).


#3

salut
j’ai tous les users par /var/log/auth.log
c’est sur je comprends pas tout

mettons que le client lance
ssh machin@ip puis motdepasse
il m’envoie un truc chiffré; mais s’il est chiffré par le client comment le serveur fait pour savoir que c’est le bon motdepasse?

J’imagine qu’il compare le motde passe chiffré avec le vrai mot de passe chiffré mais alors ils doivent l’avoir chiffré de la même façon.
Donc si sur le serveur je tape le même motdepasse que le client je dois pourvoir le chiffrer et obtenir le motdepasse chiffré ?
Et donc je devrais pouvoir chiffrer une liste de mots de passe et la comparer .
Y a un truc qui m’échappe.


#4

Absolument.

Ca aussi, toutafé.

Le truc c’est que d’une part plusieurs mots de passe distincts peuvent produire la même valeur chiffrée, que les valeurs des passwd possibles et des valeurs chiffrées que ça génère sont (quasi) infinis et que d’autre part une seule lettre qui change dans le mdp, et sa valeur chiffrée change du tout au tout, aussi bien en longueur que sur les caractères produits.

Du coup, si c’est pour vérifier sur quelques pass dont tu te souviens vaguement si un d’eux produit bien le bon mdp chiffré, à la limite, ça peut te permettre de retrouver, mais c’est aussi simple de les tester un à un plutot que de les chiffrer et vérifier toi même à l’oeil si ça correspond, et par contre, si tu veux tester systématiquement des tonnes de valeurs de pass pour en retrouver un que tu ne connais pas en générant la liste des valeurs chiffrées, ben ça sera aussi long de comparer ta liste au résultat à obtenir que de tester l’un aprés l’autre les mêmes mots de passe en brute force dans le login.


#5

Bonjour,

A quoi bon avoir les mots de passe ?
Personnellement je ne fais plus du tout d’authentification SSH par mot de passe. Je trouve ça peu pratique (le saisir à chaque ouverture de session) et un stressant (capteur de clavier ou oeil indiscret).


#6

comme ça , pour voir , par curiosité


#7

Non. Deux choses différentes chiffrées avec le même algorithme produisent deux choses différentes. Sinon, ce n’est pas du chiffrement.
En revanche, si on parle de “hachage”, alors oui, en effet, il peut y avoir “collision” (ce qui est assez rare, mais tout de même existant).
C’est le principe même du hachage (qu’on pourrait traduire par empreinte) : on compare 2 empreintes, en partant du principe que c’est la même chaussure qui a produit les 2. Mais ça ne peut être garanti.
Cdlt :wink: