Security
通過 logwatch,我收到 root 正在打開會話“-> 無人”的消息。這是安全問題還是正常操作?
以下是 logwatch 中的一些行:
pam_unix sshd: Authentication Failures: root (211.167.103.115): 5 Time(s) unknown (219.239.110.139): 1 Time(s) Invalid Users: Unknown Account: 1 Time(s) su: Sessions Opened: root -> nobody: 3 Time(s)
現在,單獨來看,我會假設這些
su
條目只是權限的一些定時升級(或降級,視情況而定),但結合 root 密碼破解的標準嘗試,它們更令人不安。我是否應該擔心由於這些通知/日誌監視條目中的任何一組導致的安全漏洞?
您不應該擔心 root 的“身份驗證失敗” - 有無數的惡意軟體和 scriptkiddies 工具在他們可以訪問的每台主機上嘗試 root 密碼。只要您不允許直接 root 登錄和/或擁有足夠複雜的非字典 root 密碼,就無需擔心。
root -> nobody 會話確實被刪除了權限 - 以 root 身份開始並將安全上下文更改為未授予權限的“nobody”使用者 - 這是良好的安全實踐。