V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yxjxx
V2EX  ›  问与答

Keepass2.x 文件有防暴力破解的机制吗?服务器被人暴力破解了 root 密码,Mypassword.kdbx 文件可能被人拿到了.

  •  
  •   yxjxx · 2014-03-11 19:57:18 +08:00 · 5971 次点击
    这是一个创建于 3943 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一直没有太注意服务器的安全,直到看到 https://v2ex.com/t/103610
    参看/var/log/auth.log发现被人登陆过,而且我的keepass文件通过dropbox在服务器也有一份.
    第 1 条附言  ·  2014-03-11 22:29:30 +08:00
    重要密码已经修改!感谢大家的支招,就不一一回复了.

    发生这样的情况主要是我自己的粗心(root密码太简单短的纯数字密码,而且没有禁用密码登陆,dropbox完全没必要同步重要的kdbx文件到服务器根本用不到,kdbx文件的加密不够强等等吧)造成的.

    好在没有什么损失.或许登陆root的人也并没有意识到我的Mypassword.kdbx文件,只是以防万一...


    自己还是很菜鸟要多学习啊!!!

    希望这个帖子也能给像我一样不注意安全的人以警醒吧,那也算是传递正能量了 :)
    18 条回复    1970-01-01 08:00:00 +08:00
    cdfmr
        1
    cdfmr  
       2014-03-11 19:58:55 +08:00   ❤️ 1
    无论如何,把重要帐号的密码改了再说。
    lsylsy2
        2
    lsylsy2  
       2014-03-11 19:59:32 +08:00   ❤️ 1
    keepass本身有密码加密的

    这个地方有加密次数设置,你要是没设……赶紧换密码
    xdeng
        3
    xdeng  
       2014-03-11 20:01:36 +08:00   ❤️ 1
    不能防暴力吧。。。 但是没这么快破吧 。。。趁现在赶紧改密码啊
    xdeng
        4
    xdeng  
       2014-03-11 20:02:31 +08:00
    @lsylsy2 这个干吗的?
    sdysj
        5
    sdysj  
       2014-03-11 20:04:32 +08:00   ❤️ 1
    基本不用担心,无论设不设二楼的参数。
    lsylsy2
        6
    lsylsy2  
       2014-03-11 20:07:08 +08:00
    @sdysj 如果没设我的参数的话,还是有可能直接穷举密码的吧
    yxjxx
        7
    yxjxx  
    OP
       2014-03-11 20:09:26 +08:00
    @cdfmr
    @lsylsy2 没有设置...
    @xdeng 正在修改密码中...
    lsylsy2
        8
    lsylsy2  
       2014-03-11 20:12:27 +08:00
    @yxjxx 简单说,这个参数比如设置成12345,那么你输的密码(比如888)就会被做12345次变换(比如md5这种),这样穷举密码难度会大很多
    如果你本身密码很强的话这个不设理论也不会有大问题……不过还是改密码安全
    a2z
        9
    a2z  
       2014-03-11 20:18:44 +08:00   ❤️ 1
    我想知道你的root密码是什么?
    我有好几个ssh蜜罐,每天抓的一堆密码都很没创意……
    robbielj
        10
    robbielj  
       2014-03-11 20:24:38 +08:00   ❤️ 1
    @lsylsy2 这是个因素,不过不是最重要的吧。最重要的是用了什么key,如果是一个密码外加一个随机文件做复合key,穷举出来的可能性太低了。
    iislong
        11
    iislong  
       2014-03-11 20:35:59 +08:00   ❤️ 1
    @lsylsy2 设置了key transformation值后,移动端能读取吗?
    robbielj
        12
    robbielj  
       2014-03-11 20:43:59 +08:00
    @iislong 可以,就是打开数据库会慢些,我用minikeepass。 所以我设了个适合一些的数值。
    LU35
        13
    LU35  
       2014-03-11 21:24:21 +08:00   ❤️ 1
    @yxjxx 没有设置登录key吗?
    niseter
        14
    niseter  
       2014-03-11 21:34:00 +08:00   ❤️ 1
    最简单好使的:
    1.换证书登陆
    2.强密码+fail2ban

    都可以啊
    LazyZhu
        15
    LazyZhu  
       2014-03-11 21:42:18 +08:00   ❤️ 1
    唉,既然都在用KeePass了,咋不装个KeeAgent,私匙放在KeePass的附件里面,然后服务器设置成PubkeyAuthentication only,Putty都不用设置,自动应用KeePass的私匙的。
    yylzcom
        16
    yylzcom  
       2014-03-11 21:51:11 +08:00   ❤️ 1
    我是密钥文件+密码登录的 他没拿到密钥文件,来穷举破解试试吧 = =#
    yxjxx
        17
    yxjxx  
    OP
       2014-03-11 22:36:35 +08:00
    aku
        18
    aku  
       2014-03-12 00:32:08 +08:00
    用DenyHosts,比fail2ban简单,不用配置就可以用了,还有不断更新的公共黑名单
    http://denyhosts.sourceforge.net/
    一般的源里都有
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2953 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:13 · PVG 22:13 · LAX 06:13 · JFK 09:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.