Security

通過 logwatch,我收到 root 正在打開會話“-> 無人”的消息。這是安全問題還是正常操作?

  • May 20, 2011

以下是 logwatch 中的一些行:

pam_unix

sshd:   Authentication Failures:
    root (211.167.103.115): 5 Time(s)
    unknown (219.239.110.139): 1 Time(s)   Invalid Users:
    Unknown Account: 1 Time(s) 

su:   Sessions Opened:
    root -> nobody: 3 Time(s)

現在,單獨來看,我會假設這些su條目只是權限的一些定時升級(或降級,視情況而定),但結合 root 密碼破解的標準嘗試,它們更令人不安。我是否應該擔心由於這些通知/日誌監視條目中的任何一組導致的安全漏洞?

您不應該擔心 root 的“身份驗證失敗” - 有無數的惡意軟體和 scriptkiddies 工具在他們可以訪問的每台主機上嘗試 root 密碼。只要您不允許直接 root 登錄和/或擁有足夠複雜的非字典 root 密碼,就無需擔心。

root -> nobody 會話確實被刪除了權限 - 以 root 身份開始並將安全上下文更改為未授予權限的“nobody”使用者 - 這是良好的安全實踐。

引用自:https://serverfault.com/questions/271975