今天早上,我發現自己無法登入我的一台(CentOS 6)伺服器上的 root 帳號。我啟動進入單一使用者模式並重設 root 密碼。現在一切似乎都正常進行。
我有許多監視指標來監視該伺服器上的行為,並且沒有發現任何惡意活動的證據。但是,我不確定在不重新安裝完整作業系統的情況下是否可以信任該伺服器的安全性。
- 我可以採取哪些步驟來診斷原因?
- 理論上,有人可能擁有我機器的 root 存取權。有什麼辦法可以排除這種可能性嗎?
答案1
你可能會忘記密碼,我就遇過這種情況。 :-)
如果您的伺服器遭到破壞,那麼您就無法信任儲存在其上的資料或程式碼。也許您有一些外部日誌記錄工具,例如:
- 遠端系統日誌伺服器,
- 記錄連接的防火牆設備,
- 或甚至只是一個記錄連線的託管交換器?
我會毫不猶豫地重新安裝這台機器。同時嘗試配置遠端日誌記錄位置;您可以使用其中一台伺服器來實現這一點。我建議閱讀一些有關配置可能性的文章(例如可用的協議);這似乎是一個很好的知識綱要: