Linux
當有人在我的伺服器上以 root 身份登錄時該怎麼辦
我有一台執行 Debian 6.0 並安裝了 logcheck 的伺服器。昨天,我收到了這樣一條消息:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
我不知道這是誰,我懷疑他在那裡是偶然的。
現在,我該怎麼辦?
我做的第一件事是禁用 ssh 密碼驗證並切換到公鑰/私鑰。我還檢查了 authorized_keys 文件,只看到了我的公鑰
接下來是什麼?
我怎麼知道其他人在我的機器上做了什麼?
我相信這是一個已經存在太久的錯誤,已在更高版本(6.0p1)中修復。
通過嘗試從受限制的主機自己連接到系統,使用不同的密鑰並查看您收到的消息,應該很容易驗證這一點。
這可能是OpenSSH 中長期存在的錯誤,僅在 6.0p1 中修復。在這種情況下,您可以放心地忽略它。但是,如果您想安全起見,最初的答案(假設您不受此錯誤的影響)是:
您的 ssh 私鑰可能已被洩露,因為有人擁有用於登錄您的 root 帳戶的有效私鑰。有人沒有從允許的 IP 地址登錄這一事實使您免於進一步妥協。然而,這是一個重大的妥協。它表明您的工作站(或您通常使用的其他機器)受到了損害。
您應該將您接觸的每個工作站和伺服器都視為可能受到威脅。格式化並重新安裝您的工作站。撤銷/銷毀所有現有的 ssh 密鑰並重新設置所有內容。更改所有密碼。強烈考慮擦除並重新安裝您有權使用此密鑰登錄的任何伺服器。