오늘 아침에 내 (CentOS 6) 서버 중 하나에서 루트 계정에 로그인할 수 없는 것을 발견했습니다. 단일 사용자 모드로 부팅하고 루트 비밀번호를 재설정했습니다. 이제 모든 것이 정상적으로 작동하는 것 같습니다.
저는 이 서버의 동작을 감시하는 여러 모니터링 지표를 보유하고 있으며, 사악한 활동의 증거는 발견하지 못했습니다. 그러나 전체 OS를 재설치하지 않고는 이 서버의 보안을 신뢰할 수 있는지 확신할 수 없습니다.
- 이 원인을 진단하려면 어떤 조치를 취해야 합니까?
- 이론적으로 누군가가 내 컴퓨터에 루트 액세스 권한을 갖고 있을 수도 있습니다. 이 가능성을 배제할 수 있는 방법이 있나요?
답변1
그냥 비밀번호를 잊어버릴 수도 있었는데, 그런 일이 나한테 일어났어요. :-)
서버가 손상되면 서버에 저장된 데이터나 코드를 신뢰할 수 없습니다. 어쩌면 다음과 같은 외부 로깅 기능이 있을 수도 있습니다.
- 원격 syslog 서버,
- 연결을 기록하는 방화벽 어플라이언스,
- 아니면 연결을 기록하는 관리되는 스위치일까요?
나는 이 기계를 다시 설치하는 것을 주저하지 않을 것입니다. 그동안 원격 로깅 장소를 구성해 보십시오. 이를 위해 서버 중 하나를 사용할 수 있습니다. 구성 가능성(사용 가능한 프로토콜 등)에 대해 읽어 보는 것이 좋습니다. 이것은 좋은 지식 요약인 것 같습니다.