SSH mengabaikan karakter setelah string kata sandi yang benar?

18

Mesin jarak jauh 10.10.10.1 memiliki kata sandi "asdFGH12" untuk pengguna yang bernama "pengguna". Saya dapat masuk walaupun saya mengetikkan kata sandi "asdFGH12dasdkjlkjasdus" atau karakter lain apa pun setelah string "asdFGH12".

$ ssh -v 10.10.10.1
OpenSSH_5.2p1 FreeBSD-20090522, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 10.10.10.1 [10.10.10.1] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type 0
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type 2
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.1
debug1: match: OpenSSH_4.1 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2p1 FreeBSD-20090522
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '10.10.10.1' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:58
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_dsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Trying private key: /home/user/.ssh/id_rsa
debug1: Next authentication method: keyboard-interactive
Password:
debug1: Authentication succeeded (keyboard-interactive).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
Warning: untrusted X11 forwarding setup failed: xauth key data not generated
Warning: No xauth data; using fake authentication data for X11 forwarding.
debug1: Requesting X11 forwarding with authentication spoofing.
Last login: Tue Apr 23 14:30:59 2013 from 10.10.10.2
Have a lot of fun...
user@server:~> 

Apakah ini perilaku yang diketahui dari versi server SSH (tertentu)?

Martin
sumber
OS apa ini?
slm
1
Daemon ssh saya (OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012) tidak memungkinkan saya untuk menambahkan karakter tambahan setelah kata sandi.
Anthon
1
Masalah pasti dengan skema hashing. DES / pemotongan kripto tradisional memotong atau mengisi semua kata sandi yang diberikan hingga delapan karakter sehingga algoritma hashing akan bekerja. Saya berani bertaruh Anda menggunakan varian unix tradisional, sebagian besar distro BSD dan Linux setidaknya sudah pada md5 secara default selama sekitar sepuluh tahun terakhir.
Bratchley

Jawaban:

26

Ini bukan batasan pada bagian dari server SSH Anda, ini adalah batasan pada bagian dari algoritma hash kata sandi server Anda.

Ketika mem-hashing password pada Unix, crypt()fungsinya dipanggil Ini mungkin menggunakan salah satu dari banyak backend, kemungkinan menggunakan DES, atau algoritma pembatas lainnya (untuk kasus khusus ini, saya akan menganggap server Anda menggunakan DES). DES umumnya tidak digunakan secara default di sistem operasi modern karena ini menghasilkan batasan yang sangat buruk: kekuatan dan validasi kata sandi dibatasi hingga 8 byte.

Ini berarti bahwa jika kata sandi Anda ditetapkan sebagai "foobarbaz", itu menjadi "foobarba", biasanya tanpa peringatan atau pemberitahuan. Batasan yang sama berlaku untuk validasi, yang berarti bahwa "foobarbaz", "foobarba", dan "foobarbazqux" semuanya memvalidasi untuk kasus khusus ini.

Chris Down
sumber
20

Saya curiga Anda OS menggunakan enkripsi kata sandi DES, yang hanya mendukung maksimal 8 karakter.

/server/361591/ssh-accepts-only-the-half-password

Dari man crypt(3)

EKSTENSI GNU

Versi glibc2 dari fungsi ini memiliki fitur tambahan berikut. Jika garam adalah string karakter yang dimulai dengan tiga karakter "$ 1 $" diikuti oleh paling banyak delapan karakter, dan secara opsional diakhiri oleh "$", maka alih-alih menggunakan mesin DES, fungsi crypt glibc menggunakan algoritma berbasis MD5, dan menghasilkan hingga 34 byte, yaitu "$ 1 $ <string> $", di mana "<string>" singkatan hingga 8 karakter mengikuti "$ 1 $" dalam garam, diikuti oleh 22 byte yang dipilih dari set [a – zA –Z0–9./].
Seluruh kunci penting di sini (bukan hanya 8 byte pertama).

Anda dapat memeriksa pengaturan ayah Anda untuk melihat apakah Anda menggunakan MD5 atau DES:

% egrep "password.*pam_unix.so" /etc/pam.d/system-auth
password    sufficient    pam_unix.so md5 shadow nis nullok try_first_pass use_authtok

Anda juga dapat mengonfirmasi fungsi hashing mana yang digunakan sistem Anda dengan perintah ini:

% authconfig --test | grep hashing
 password hashing algorithm is md5

Dan Anda dapat melihat dalam /etc/shadowfile sistem ini bahwa ia menggunakan MD5 juga:

root:$1$<DELETED PASSWORD HASH>:14245:0:99999:7:::

Kode yang akan Anda lihat di /etc/shadowuntuk setiap jenis hashing:

  • $ 1 - MD5
  • $ 2 - blowfish
  • $ 2a - eksblowfish
  • $ 5 - SHA-256
  • $ 6 - SHA-512

Anda dapat mengkonfigurasi ulang sistem Anda dengan perintah ini:

% authconfig --passalgo=sha512 --update

Kata sandi apa pun yang ada perlu dibuat ulang, Anda dapat menggunakan perintah ini untuk memaksa pengguna menyetel ulang saat berikutnya mereka masuk:

% chage -d 0 userName

Referensi

slm
sumber
2
Memeriksa konfigurasi PAM hanya akan memberi tahu Anda apa yang digunakan sistem saat ini , bukan apa yang digunakan untuk mengenkripsi kata sandi yang digunakan pengguna. Adalah mungkin bagi mereka untuk menjadi berbeda jika itu pernah diubah.
Chris Down
Maaf ini pertanyaan panas, saya tidak bisa mengetikkan jawaban secepat yang dipikirkan semua orang 8-).
slm
Perhatikan bahwa authconfigumumnya khusus untuk RHEL (dan turunannya).
Chris Down
1
jika authconfigspesifik maka opsi alternatif adalahgrep ENCRYPT_METHOD /etc/login.defs
Rahul Patil