今朝、私のサーバーの 1 つ (CentOS 6) でルート アカウントにログインできないことに気付きました。シングル ユーザー モードで起動し、ルート パスワードをリセットしました。今はすべて正常に動作しているようです。
このサーバーの動作を監視する監視メトリックをいくつか持っていますが、不正なアクティビティの証拠は見つかりませんでした。ただし、OS を完全に再インストールしないと、このサーバーのセキュリティを信頼できるかどうかはわかりません。
- この原因を診断するにはどのような手順を踏めばよいでしょうか?
- 理論上は、誰かが私のマシンにルートアクセスした可能性があります。この可能性を排除する方法はありますか?
答え1
パスワードを忘れただけかもしれません。私もそうでした。:-)
サーバーが侵害された場合、そこに保存されているデータやコードは信頼できません。次のような外部ログ機能があるかもしれません。
- リモートsyslogサーバー
- 接続を記録するファイアウォールアプライアンス
- あるいは接続をログに記録する単なる管理スイッチでしょうか?
このマシンを再インストールすることに躊躇はしません。その間、リモート ログの場所を設定してみてください。そのためには、サーバーの 1 つを使用できます。設定の可能性 (使用可能なプロトコルなど) についていくつか読むことをお勧めします。これは、知識の優れた概要のようです。