Anzeige des Passworts im Log bei falschem Login

xloouch

Erfahrenes Mitglied
Hallo Zusammen

Ich hab mal ne Frage bezüglich der Realisierbarkeit von folgender Idee:

Beschreibung:
Ich habe Server, welche nicht bei mir privat lokalisiert sind. Diese sind entsprechend geschützt (Fail2ban, Denyhosts, usw).

Nun versucht sich jemand einzuloggen. Ich erhalte die Meldung, dass jemand sich einzuloggen versuchte.


Frage:
Ist es möglich, dass ich die Passworteingaben irgendwie mitloggen kann?

Vielen Dank für eure Inputs & Ideen im voraus.
 

ikosaeder

Teekannen-Agnostiker
1. Wofür? Für eine Sicherheitsabfrage muss du das Passwort nicht kennen.
2. Wie loggen sich die Leute auf deinem Server ein? SSH? Dann wird das Passwort nicht im Klartext übertragen und du hast keine Chance (das soll auch so sein!)
Per PHP und MySql? Dann kannst du dir alle Nutzereingaben problemlos speichern. Aber ein seriöser Anbieter von egal was wird niemals Passwörter im Klartext irgendwo speichern.

Wenn du verhindern willst, das jemand mit einer Bruteforce attacke auf deinen Server kommt, setze ein Limit für Einlogversuche und oder eine Verzögerung beim Feedback. Im schlimmsten Fall kannst du bestimmte IP-Adressen /Adressbereiche in deiner Firewall blockieren.
 

xloouch

Erfahrenes Mitglied
Hi ikosaeder

Die meissten Meldungen, welche ich bekomme, beruhen auf meiner Fail2ban Regel. Leider sind gewisse Personen zu blöd, das Passwort richtig einzugeben (oder trotz Information über einen Passwortwechsel, zu faul, die Eingabe zu überprüfen).


Momentan kann ich denen ja nur sagen, mit welchem User sie sich falsch eingeloggt, haben, aber nicht, ob Sie ein veraltetes Passwort benützten.

Ich weiss, es ist ein grosses Sicherheits-Leck, falls dies protokolliert werden sollte.

Ist ja nur eine Frage gewesen, ob es theoretisch Möglich wäre :)
 

ikosaeder

Teekannen-Agnostiker
Du könntest deinen Usern ssh-keys anbieten: (Anleitung z.B. unter http://www.schlittermann.de/doc/ssh)
wobei die User auch da wahrscheinlich das Kennwort vergessen, oder schlimmer einen ungeschützten Key verlieren.
Wie auch immer, solange die Fehler von einer für den User typischen IP stammen, ignorier sie einfach. Stammen sie von einer ungewöhlichen IP solltest du nachforschen. Das User sich nicht einloggen können ist nicht dein Problem, solange sich dich nicht direkt darauf ansprechen.
 

xloouch

Erfahrenes Mitglied
Hi ikosaeder

Ich habe eigentlich nicht vor, ssh-keys zu generieren. Denn anscheinend sind die User schon überfordert, wenns um die Passworteingabe geht :)

Ich werde mich nun darauf beschränken, die User zusammen zu stauchen, wenn Sie schreiend daherkommen, dass der Server nicht mehr läuft.. :-D So kann ich denenen Stunden um Stunden verrechnen (durch Ihre selbstverschuldete Unfähigkeit).

Leider ist es eben auch so, dass externe User drauf zugreifen, bei denen die IP leider nicht immer zuweisbar ist.. Aber das lassen wir jetzt..

Für mich ist das Thema beendet :)

Danke für die Input ikosaeder.