Heute Morgen konnte ich mich auf einem meiner (CentOS 6) Server nicht mit dem Root-Konto anmelden. Ich habe den Server im Einzelbenutzermodus gestartet und das Root-Passwort zurückgesetzt. Jetzt scheint alles normal zu funktionieren.
Ich habe eine Reihe von Überwachungsmetriken, die das Verhalten auf diesem Server beobachten, und habe keine Hinweise auf schändliche Aktivitäten gefunden. Ich bin mir jedoch nicht sicher, ob ich der Sicherheit dieses Servers vertrauen kann, ohne eine vollständige Neuinstallation des Betriebssystems durchzuführen.
- Welche Schritte kann ich unternehmen, um die Ursache hierfür zu diagnostizieren?
- Theoretisch könnte jemand Root-Zugriff auf meinen Computer gehabt haben. Kann ich diese Möglichkeit irgendwie ausschließen?
Antwort1
Sie könnten einfach das Passwort vergessen, das ist mir passiert. :-)
Wenn Ihr Server kompromittiert wurde, können Sie den darauf gespeicherten Daten oder Codes nicht vertrauen. Vielleicht verfügen Sie über externe Protokollierungsfunktionen wie:
- ein Remote-Syslog-Server,
- eine Firewall-Appliance, die Verbindungen protokolliert,
- oder sogar nur ein verwalteter Switch, der Verbindungen protokolliert?
Ich würde nicht zögern, diese Maschine neu zu installieren. Versuchen Sie in der Zwischenzeit, einen Remote-Logging-Platz zu konfigurieren; Sie können dafür einen Ihrer Server verwenden. Ich empfehle, sich über Konfigurationsmöglichkeiten (wie verfügbare Protokolle) zu informieren; dies scheint ein gutes Kompendium des Wissens zu sein: