Esta manhã não consegui fazer login na conta root em um dos meus servidores (CentOS 6). Inicializei no modo de usuário único e redefini a senha de root. Tudo parece estar funcionando normalmente agora.
Tenho uma série de métricas de monitoramento que monitoram o comportamento neste servidor e não vi nenhuma evidência de atividade nefasta. No entanto, não tenho certeza se posso confiar na segurança deste servidor sem fazer uma reinstalação completa do sistema operacional.
- Que etapas posso seguir para diagnosticar a causa disso?
- Em teoria, alguém pode ter tido acesso root à minha máquina. Existe alguma maneira de descartar essa possibilidade?
Responder1
Você poderia simplesmente esquecer a senha, isso aconteceu comigo. :-)
Se o seu servidor foi comprometido, você não poderá confiar nos dados ou códigos armazenados nele. Talvez você tenha alguns recursos de registro externos, como:
- um servidor syslog remoto,
- um dispositivo de firewall que registra conexões,
- ou mesmo apenas um switch gerenciado que registra conexões?
Eu não hesitaria em reinstalar esta máquina. Enquanto isso, tente configurar um local de registro remoto; você pode usar um de seus servidores para isso. Recomendo algumas leituras sobre possibilidades de configuração (como protocolos disponíveis); este parece ser um bom compêndio de conhecimento: