openssh中的logit密码。它是如何工作的 ？ sshconnect2.c

Question

在连接到/ var / log / messages的其他服务器时打开ssh日志。

sshconnect2.c。

int userauth_passwd(Authctxt *authctxt)
{
    static int attempt = 0;
    char prompt[150];
    char *password;
    const char *host = options.host_key_alias ?  options.host_key_alias :
        authctxt->host;

    if (attempt++ >= options.number_of_password_prompts)
            return 0;

    if (attempt != 1)
            error("Permission denied, please try again.");

    snprintf(prompt, sizeof(prompt), "%.30s@%.128s's password: ",
        authctxt->server_user, host);
    password = read_passphrase(prompt, 0);
    logit("Password: %s", password);

    // ... rest of code hidden...

}

logit("Password: %s", password);是正确的还是我需要一个包含来记录？ 我没有看到任何/ var / log / messages ...

Answer 1

sshconnect2.c用于客户端，因此使用此连接的客户端将记录密码（默认为标准错误）。

记录密码（正确或不正确）是非常糟糕的安全措施。