====== SSH Angriffsversuche - Passwörter loggen ======

Achtung: führt dazu, dass __alle__ Passwörter geloggt werden. Das ist auf Maschinen, wo Nutzer Passwörter haben sicher nicht sinnvoll. 

rudimentär getestet unter CentOS 8. Bekannter Bug: nur root-Passworte werden geloggt.

<file txt /usr/local/sbin/log_password>
#!/bin/bash

read password
echo "PAM_RHOST: $PAM_RHOST, PAM_RUSER: $PAM_RUSER, PAM_USER: $PAM_USER, password: $password"
</file>

  chmod +x /usr/local/sbin/log_password

<file txt /etc/pam.d/password-auth>
…
auth       sufficient    pam_unix.so try_first_pass nullok
auth       optional      pam_exec.so expose_authtok log=/tmp/passwords /usr/local/sbin/log_password
…
</file>

(( ob ''/etc/pam.d/password-auth'' der ideale Ort dafür, ist fraglich. Und was passiert, wenn authselect o.ä. ausgeführt wird? ))
  tail -F /tmp/passwords
warten ;-)