Server se neptá na heslo neexistujícího uživatele

Server se neptá na heslo neexistujícího uživatele
« kdy: 09. 09. 2019, 17:19:14 »
Ahoj, všiml jsem si, že mi server začal zavírat spojení pro uživatele, kteří neexistují. To je hoodně špatně a nelíbí se mi to. Nějaká idea, co jsem rozbil? V sshd jsem myslím neměnil nic, co by mělo tohle způsobit.

Děkuji.


Re:Server se neptá na heslo neexistujícího uživatele
« Odpověď #1 kdy: 09. 09. 2019, 19:34:57 »
On se nedá ten příspěvek upravit?

Ještě to dospecifikuji, při ssh pokusu o připojení se to chová dle očekávání, pokud se přihlašuji jako uživatel, který existuje. Pokud se připojím jako neexistující, okamžitě mi server ukončí spojení.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:Server se neptá na heslo neexistujícího uživatele
« Odpověď #2 kdy: 09. 09. 2019, 20:41:55 »
On se nedá ten příspěvek upravit?

Ještě to dospecifikuji, při ssh pokusu o připojení se to chová dle očekávání, pokud se přihlašuji jako uživatel, který existuje. Pokud se připojím jako neexistující, okamžitě mi server ukončí spojení.

To by ho to melo snad prihlasit?

Kit

  • *****
  • 704
    • Zobrazit profil
    • E-mail
Re:Server se neptá na heslo neexistujícího uživatele
« Odpověď #3 kdy: 09. 09. 2019, 21:33:02 »
On se nedá ten příspěvek upravit?

Ještě to dospecifikuji, při ssh pokusu o připojení se to chová dle očekávání, pokud se přihlašuji jako uživatel, který existuje. Pokud se připojím jako neexistující, okamžitě mi server ukončí spojení.
To by ho to melo snad prihlasit?

Měl by si nejprve vyžádat heslo a teprve pak odmítnout přihlášení.

Re:Server se neptá na heslo neexistujícího uživatele
« Odpověď #4 kdy: 09. 09. 2019, 23:13:11 »
sshd podporuje různé způsoby přihlášení. Jen tak tipovat nemá smysl – pomohlo by, kdybyste sem dal konfigurační soubor, aby bylo vidět, jak máte přihlašování nakonfigurované. Pak se můžeme podívat na jednotlivé způsoby přihlášení, zda nemůže být problém v nich.

Například pokud byste měl povolené pouze přihlášení klíčem z domovského adresáře uživatele, po zadání neplatného uživatelského jména server zjistí, že nemůže načíst veřejný klíč – a bylo by zvláštní, pokud by se v takovém okamžiku rozhodl jen tak požadovat třeba heslo, když autentizace heslem vůbec není povolena. Navíc uživatel znalý nastavení systému by i podle toho požadavku na heslo poznal, že daný uživatel neexistuje.


k3dAR

  • *****
  • 2 883
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Server se neptá na heslo neexistujícího uživatele
« Odpověď #5 kdy: 10. 09. 2019, 00:29:24 »
btw: jaky je use case pozadovat aby ssh server pri poslani neplatneho uzivatele se tim jakkoliv zabyval dale?

Kit

  • *****
  • 704
    • Zobrazit profil
    • E-mail
Re:Server se neptá na heslo neexistujícího uživatele
« Odpověď #6 kdy: 10. 09. 2019, 02:36:55 »
btw: jaky je use case pozadovat aby ssh server pri poslani neplatneho uzivatele se tim jakkoliv zabyval dale?

Cílem je, aby útočník nemohl zjistit, která jména v systému jsou a která ne. Když například zruším roota, tak chci, aby se to útočník nedozvěděl.