On Thu, 31 Mar 2005, Michelle Konzack wrote:
> Am 2005-03-31 13:38:43, schrieb Rainer Bendig aka Ny:
> > Moin Moin Michelle Konzack, *,
> >
> > Michelle Konzack wrote on Mar 31, 2005 at 01:06PM +0200:
> > > habe versucht, den "LogLevel" bis auf DEBUG3 hochzuschrauben um
> > > an das falsche password zu kommen. Leider war das wohl nichts.
> > Ich weiss nicht ob ich wollen wuerde dass meine privaten Passwoerter
> > im ssh log von $Auftraggeber im Klartext stehen...
>
> Es geht um die Hacker als FALSCHE zugriffe.
> In der Syslog tauchen auch nur FALSCHE Login (Console/X) auf.
[...]
> Nur was mich interessiert ist, mit welchen Passw�rtern
> versucht wurde, auf dem System einzubrechen.
In der monitor.c findet in mm_answer_authpassword() ein Aufruf von
auth_password() statt. An der Stelle k�nnte man vielleicht mit einem
kleinen debug() Call alles weitere entscheiden. Fies w�re es einen debug()
ohne weitere "if (! authenticated) ..." Bedingung einzubauen.
Ansonsten ist die Ausgabe des Plaintext-PW in openssh in der Tat nirgends
so auf die Schnelle zu finden gewesen.
t++
