Posso ver senhas ou hashes de logons com falha em ssh?

Eu acredito que você pode fazer isso com strace contra o daemon ssh. Veja este exemplo / script . Eu acho que isso provavelmente irá diminuir o daemon ssh. Ele mostrará a senha real, não o hash.

O núcleo desse exemplo é (precisa ser a raiz mais provável):

strace -f -etrace=write -s 64 -p $ssh_pid 2>&1

Meu teste com o comando acima, onde $ ssh_pid é o pid de / usr / sbin / sshd:

ssh localhost
kbrandt@localhost's password: 
Permission denied, please try again.
...
pid 14742] write(4, "
strace -f -etrace=write -s 64 -p $ssh_pid 2>&1
ssh localhost
kbrandt@localhost's password: 
Permission denied, please try again.
...
pid 14742] write(4, "%pre%%pre%%pre%foobazes"..., 12) = 12
%pre%foobazes"..., 12) = 12

Eu não acho que isso seja possível, pelo menos não sem fazer um módulo pam que faz isso para você. Soa bastante antiético também, então pise com cuidado. Pode ser bom para analisar ataques, mas pegue a senha 'incorreta' de um usuário legítimo, e você pode ter escolhido uma senha que ele usa em outro lugar.

Por definição, um ataque de dicionário usa palavras que são encontradas em um dicionário. Embora possa ser interessante ver quais senhas foram tentadas, é realmente uma perda de tempo devido ao número quase infinito de senhas que não são de dicionário que poderiam ser usadas. Uma maneira melhor de proteger seu servidor contra ataques SSH é ocultar o servidor atrás de uma porta não padrão. Eu uso um número de porta alto acima de 10000 e descubro que tenho poucas tentativas de invasão.