Como funciona a autenticação de chave pública no openssh?
Para deixar claro o que está acontecendo, a autenticação de chave pública funciona em duas etapas. Um é apenas informativo e o outro verifica todo o par de chaves.
O primeiro passo
é apenas verificar se a chave pública oferecida corresponde a algumas das chaves disponíveis no arquivo authorized_keys
dos servidores e não está registrada como um erro no nível de log padrão, porque muitas pessoas apenas armazenam suas chaves no agente ou em algum lugar e as oferecem para todos os servidores. Isso geralmente recai na autenticação de senha. Se você configurar o nível de log VERBOSE, deverá ver também esta mensagem em /var/log/secure
(pelo menos com rhel6 openssh
package recente).
O segundo passo
verifica a posse da parte privada e faz a criptografia assimétrica real e se esta falhar, deve ser registrada, porque é mais como tentativa de autenticação com falha.
A força bruta é viável?
O ponto de não registrar as tentativas de autenticação de chave pública também é pensar que isso basicamente não pode ser alvo de ataques de bruteforce, já que o espaço de estados é muito grande (ex. chave 1024b) em comparação com senhas, onde você pode tentar todas as senhas de 8 caracteres (em torno de 64b ou no máximo de entropia, mas geralmente muito menos, pois você pode usar muitas heurísticas - vocabulário, somente alfabeto e assim por diante). Nas chaves você tem apenas um grande número.
Existem registros no RHEL!
No RHEL / CentOS / Fedora, você pode usar o avanço de audit
, que também contém essas tentativas de autenticação com falha. Você pode encontrá-los em /var/log/audit/audit.log
as USER_AUTH
events com res=failed
Espero que isso ajude você um pouco.