Esta mañana no pude iniciar sesión en la cuenta raíz en uno de mis servidores (CentOS 6). Arranqué en modo de usuario único y restablecí la contraseña de root. Todo parece funcionar con normalidad ahora.
Tengo una serie de métricas de monitoreo que observan el comportamiento en este servidor y no he visto evidencia de actividad nefasta. Sin embargo, no estoy seguro de poder confiar en la seguridad de este servidor sin realizar una reinstalación completa del sistema operativo.
- ¿Qué pasos puedo seguir para diagnosticar la causa de esto?
- En teoría, es posible que alguien haya tenido acceso de root a mi máquina. ¿Hay alguna manera de descartar esta posibilidad?
Respuesta1
Podrías olvidar la contraseña, me pasó a mí. :-)
Si su servidor se vio comprometido, entonces no puede confiar en los datos ni en el código almacenado en él. Quizás tenga algunas instalaciones de registro externas, como:
- un servidor syslog remoto,
- un dispositivo de firewall que registra las conexiones,
- ¿O incluso simplemente un conmutador administrado que registra las conexiones?
No dudaría en reinstalar esta máquina. Mientras tanto, intente configurar un lugar de registro remoto; puedes usar uno de tus servidores para eso. Recomiendo leer un poco sobre las posibilidades de configuración (como los protocolos disponibles); Este parece un buen compendio de conocimientos: