Quiero mejorar mi registro SSH. Básicamente, me gustaría poder ver los intentos fallidos con la dirección IP y la contraseña utilizada. ¿Es eso posible?
Ahora mismo veo algo como esto:
Failed password for invalid user root from 121.10.140.215 port 60831 ssh2
Failed password for invalid user root from 121.10.140.215 port 56180 ssh2
Failed password for invalid user root from 121.10.140.215 port 56822 ssh2
Por lo general, se considera incorrecto registrar las contraseñas fallidas, ya que las contraseñas fallidas suelen ser muy similares a las contraseñas correctas con un solo toque de tecla incorrecta; o podrían ser la contraseña correcta para el mismo usuario en otro servidor. Escribir contraseñas en archivos, bueno, rara vez es apropiado.
Dicho esto, es posible registrar las contraseñas, con una modificación mínima del código fuente del servidor SSH. Simplemente no lo recomiendo en absoluto.
¿Cuál sería el uso de esa información? ¿Quieres saber si el atacante es simplemente forzoso, o si tiene buenas suposiciones? Algo interesante para iniciar sesión sería un inicio de sesión exitoso. De esta manera, si ve un montón de intentos fallidos y uno exitoso, ¡sabrá más! Hay un buen documento de Nist sobre la administración de registro de seguridad.