[SSH公钥审计和SSHD日志分析]如何高效的搜寻系统中的SSH Private key

可可火山

SSH 审计工作目前进度不错，上次把所有的SSH public都搜索并分析好了。
现在需要把系统的SSH private key都扫描出来。

目前查找时主要的难点是：
private key 位置不定，只要ssh连接时指定就行
private key 文件名不定，只要ssh连接时指定就行
private key 文件的大小不定，private key的大小在不同的type下 dsa/rsa, 和不同的bits下不同

已知的条件
private key是文本文件，但是不知道如何用在find查找时排除二进制文件
private key文件的第一行是-----BEGIN RSA PRIVATE KEY-----或者-----BEGIN DSA PRIVATE KEY-----

[user@.ssh (0)]$head -3 id_rsa
-----BEGIN RSA PRIVATE KEY-----
MIIEpQIBAAKCAQEAsdZ5gAHDveD87+9c4g/CnhxN0/Ln8wDdD68hw5WP1vitjmOj
xeFoWZG+nib2pK1XsiAdJ1SVOd7rRLzk8OxPk8z0QAtlluMb+6sjKc3FB4R1ZhQk
[user@.ssh (0)]$head -3 id_dsa
-----BEGIN DSA PRIVATE KEY-----
MIIBuwIBAAKBgQDHvQhkuzLpMX16w0ewbxIKYRirmkxw9T8hiktsDSJklLeOIefy
qD6UvHlojei49ARigRJBSLovDAPJkwwS7yW/wDkNbB6sM5ooGO+fagJGjcHq2NVz

目前的find命令，我限定了文件类型和文件系统，粗略的文件大小
find / -mount -type f -a \( -size +600 -a -size -2000c \) -ls  -exec grep -l "BEGIN [RD]SA PRIVATE KEY" {} \;

TODO：
1）能限定查找文本文件
2）如何更好的判断文件第一行是-----BEGIN RSA PRIVATE KEY-----或-----BEGIN DSA PRIVATE KEY-----的文件，
现在想到写个另外的脚本，接受文件名，脚本中读入文件第一行，做判断，符合的话打印出文件名不然忽略。这样效率应该会高一些。

不知各位有没有什么建议来快速的查找ssh private key

可可火山

现在用现在的find命令来查，性能一般，应该还有提升的余地。大家有什么建议么？ )

1.     # -mount to stay at same file system
   
2.     # limit file size to save time.
   
3.     # ./scan_private_key_check_line1.ksh to check first line of file to see if it's ssh private key
   
4. find $fs -mount -type f \( -size +600c -a -size -2000c \) -exec ./scan_private_key_check_line1.ksh {} \; >> $SSH_PRIVATEKEYS_LIST 2>/dev/null
   
5. 
   

复制代码

======

1. #!/usr/bin/ksh
   
2. 
   
3. #file:scan_private_key_check_line1.ksh read the first line and check if it's "-----BEGIN RSA PRIVATE KEY-----" or "-----BEGIN DSA PRIVATE KEY-----"
   
4. #argument1: file to check
   
5. #return value:
   
6. # if private key, print file path
   
7. # if not private key, do nothing
   
8. 
   
9. 
   
10. #key test case
    
11. #[user@.ssh (0)]$head -3 id_dsa
    
12. #-----BEGIN DSA PRIVATE KEY-----
    
13. #MIIBuwIBAAKBgQCa7BSUdW1KijzV9IBmB+DZU/mbOcFBh03hbAcQGjX0iO/UNnyU
    
14. #oyZ2FtwcJo1I4cADioe2LvQStaFwMsW8XQNCmtGXD8s3Ln1lZ4IOmEVkndNUhvaD
    
15. #[user@.ssh (0)]$head -3 id_rsa
    
16. #-----BEGIN RSA PRIVATE KEY-----
    
17. #MIICWgIBAAKBgQC+Cz2gQQgTjiULl4ejCIqEBoSnC+NgSRVkAq7C7S4C7n8W3Y3G
    
18. #bkACYSE/BjtozdmxTYC3u7bZbvyCb/bimf4h0g2Z3KZKl6PDtXskZQQG51FXkudv
    
19. #[user@.ssh (0)]$head -3 id_dsa.withpasswd
    
20. #-----BEGIN DSA PRIVATE KEY-----
    
21. #Proc-Type: 4,ENCRYPTED
    
22. #DEK-Info: DES-EDE3-CBC,FDAF61DB03FBED31
    
23. if [ $# -gt 0 -a -r $1 ];then
    
24.     FILE_PATH=$1
    
25.     LINE1=$( head -1 $FILE_PATH )
    
26.     if [ $? == 0 ] && [ "$LINE1" == "-----BEGIN RSA PRIVATE KEY-----" -o "$LINE1" == "-----BEGIN DSA PRIVATE KEY-----" ];then
    
27.         echo $FILE_PATH
    
28.     fi
    
29. fi

复制代码