Можно ли посмотреть, какие использованные пароли использовались для входа в учетную запись администратора на Mac, чтобы увидеть, происходит ли что-то похожее на атаку грубой силой или кто-то честно набирает пароль?
2 ответа
4
Как правило, система не обеспечивает такую функциональность, поскольку представляет угрозу безопасности. Когда пользователи неправильно набирают свои пароли (и они часто делают это, это нормальное поведение), они часто имеют только один или два символа от своего правильного пароля. Если бы вы могли видеть их неудачные попытки входа в систему, в большинстве случаев было бы невероятно легко определить их действительный пароль. Это нарушает основное правило, согласно которому система никогда не должна раскрывать пароль пользователя ни этому пользователю, ни системному администратору.
Вместо этого вы можете просто посмотреть на количество неудачных попыток. Обычный пользователь может ввести свой пароль неверно пару раз подряд. Если вы видите учетную запись со значительным количеством пропущенных попыток (возможно, более 5 в день), вам следует обратиться к ней (например, спросить пользователя, много ли он неправильно набирает свой пароль). Если атака грубой силой происходила с достаточно низкой скоростью, чтобы она не выглядела необычно по объему, то это займет слишком много времени, чтобы стать реальным риском (потребуется много лет, если ваши пользователи не имеют исключительно слабых паролей или пользовательских паролей известны), пока пользователи имеют достаточно сложные пароли.
Возможно, лучшее, что вы могли бы сделать для попыток удаленного входа в систему (я полагаю, это то, что вы имеете в виду, если кто-то грубит за клавиатуру, чем вы действительно должны нанять охранную фирму :)), это посмотреть IP-адреса, с которых приходят попытки, и заблокировать любые которые являются подозрительными (блокировка IP-адресов, которые привязаны к стране, часто полностью исключает грубое принуждение). К сожалению, из приведенного мною примера для OS X sshd, похоже, не регистрирует IP-адрес, с которого поступил запрос, по крайней мере, не в secure.log. Возможно, если вы посмотрите в другой файл журнала, вы найдете эту информацию IP. Если вы видите IP, пришедший из-за пределов страны, периодически пытающийся войти в систему и никогда не преуспевающий, и т.д., То вы можете настроить свой межсетевой экран периметра (лучший) или хост-файерволы (если это ваш единственный выбор) для отбрасывания запросов с этих IP-адресов.
1
Я бы посмотрел на установку fail2ban. Я использую его в каждой системе с удаленно доступным демоном ssh:
Fail2ban сканирует файлы журналов, такие как /var /log /pwdfail или /var /log /apache /error_log, и блокирует IP, который делает слишком много сбоев пароля. Он обновляет правила брандмауэра, чтобы отклонить IP-адрес.
Отклонения носят временный характер, но должны замедлять атаки методом "грубой силы", чтобы быть практически невозможными (в моих системах, я думаю, они получают 6 попыток за 10 минут).
Инструкции по установке сервера OS X здесь. Я предполагаю, что они работают на обычной OS X так же хорошо.