🔐 Как определить, какой ключ был использован для входа в систему с OpenSSH — Information Security Squad
🔐 Как определить, какой ключ был использован для входа в систему с OpenSSH

Давайте определим, какой SSH-ключ использовался для входа в систему на основе ключей, используя отпечаток открытого ключа.

Запросим журнал systemd, чтобы проверить, кто вошел в систему.

$ sudo journalctl  --unit ssh
-- Logs begin at Mon 2019-09-16 20:21:13 GMT, end at Mon 2019-09-16 22:05:38 GMT. --
Sep 16 20:21:14 buster systemd[1]: Starting OpenBSD Secure Shell server...
Sep 16 20:21:14 buster sshd[388]: Server listening on 0.0.0.0 port 22.
Sep 16 20:21:14 buster sshd[388]: Server listening on :: port 22.
Sep 16 20:21:14 buster systemd[1]: Started OpenBSD Secure Shell server.
Sep 16 20:22:10 buster sshd[408]: Accepted publickey for milosz from 10.0.2.2 port 38266 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM
Sep 16 20:22:10 buster sshd[408]: pam_unix(sshd:session): session opened for user milosz by (uid=0)
Sep 16 20:40:13 buster sshd[447]: Accepted publickey for milosz from 10.0.2.2 port 38496 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM
Sep 16 20:40:13 buster sshd[447]: pam_unix(sshd:session): session opened for user milosz by (uid=0)
Та же информация хранится в файле логов auth.log.
$ sudo cat /var/log/auth.log
[...]
Sep 16 20:21:14 buster sshd[388]: Server listening on 0.0.0.0 port 22.
Sep 16 20:21:14 buster sshd[388]: Server listening on :: port 22.
Sep 16 20:22:10 buster sshd[408]: Accepted publickey for milosz from 10.0.2.2 port 38266 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM
Sep 16 20:22:10 buster sshd[408]: pam_unix(sshd:session): session opened for user milosz by (uid=0)
Sep 16 20:22:10 buster systemd-logind[338]: New session 1 of user milosz.
Sep 16 20:22:10 buster systemd: pam_unix(systemd-user:session): session opened for user milosz by (uid=0)
[...]
Sep 16 20:40:13 buster sshd[447]: Accepted publickey for milosz from 10.0.2.2 port 38496 ssh2: RSA SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM
Sep 16 20:40:13 buster sshd[447]: pam_unix(sshd:session): session opened for user milosz by (uid=0)
Sep 16 20:40:13 buster systemd-logind[338]: New session 3 of user milosz.
Sep 16 20:40:13 buster systemd: pam_unix(systemd-user:session): session opened for user milosz by (uid=0)
[...]
Проверим файлы, содержащие открытые ключи, на предмет аутентификации с открытым ключом, чтобы найти ключ, используемый для входа в систему от имени конкретного пользователя.

Проверьте файлы ~/.ssh/authorized_keys и ~/.ssh/authorized_keys2 на наличие открытых ключей.

$ ssh-keygen -l -f /home/milosz/.ssh/authorized_keys 
2048 SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM no comment (RSA)
2048 SHA256:zhtfNzhPXnPlXqkBVfiNq1SDB4FY4zGPOsL7zamH8w4 milosz@milosz-XPS-13-9343 (RSA)
Используйте этот метод, чтобы определить, какой ключ использовался для входа в систему на основе ключей, поскольку это может помочь вам определить человека, стоящего за ним.

Дополнительные замечания

Используйте эту команду для отображения отпечатков открытых ключей для ваших собственных ключей.

$ ssh-keygen -l -f ~/.ssh/milosz_local.pub
2048 SHA256:1/ohac0qEWmKNeNEzwLljzqoGtH3UalTywhhf5nQTlM no comment (RSA)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40