Сегодня утром я обнаружил, что не могу войти в учетную запись root на одном из моих серверов (CentOS 6). Я загрузился в однопользовательском режиме и сбросил пароль root. Теперь все, кажется, работает нормально.
У меня есть ряд показателей мониторинга, которые отслеживают поведение на этом сервере, и я не увидел никаких признаков злонамеренной деятельности. Однако я не уверен, что могу доверять безопасности этого сервера без полной переустановки ОС.
- Какие шаги я могу предпринять, чтобы диагностировать причину этого?
- Теоретически кто-то мог иметь root-доступ к моей машине. Есть ли способ исключить эту возможность?
решение1
Вы можете просто забыть пароль, со мной такое случилось. :-)
Если ваш сервер был скомпрометирован, то вы не можете доверять данным или коду, хранящимся на нем. Возможно, у вас есть внешние средства ведения журнала, например:
- удаленный сервер системного журнала,
- брандмауэр, который регистрирует соединения,
- или даже просто управляемый коммутатор, который регистрирует соединения?
Я бы не колеблясь переустановил эту машину. В то же время попробуйте настроить удаленное место для регистрации; вы можете использовать один из ваших серверов для этого. Я рекомендую почитать о возможностях конфигурации (например, о доступных протоколах); это кажется хорошим сборником знаний: