誰かが私のサーバーにrootとしてログインしたときの対処方法
LogcheckがインストールされたDebian6.0を実行しているサーバーがあります。昨日、私はこのメッセージを受け取りました:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted Host (Host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
これが誰なのかはわかりませんし、彼が偶然そこにいたのではないかと思います。
さて、私は何をすべきですか?
私が最初にしたことは、sshパスワード認証を無効にして、公開鍵/秘密鍵に切り替えることでした。また、authorized_keysファイルを確認し、公開鍵のみを確認しました
次は何?
他の人が私のマシンで何をしたかをどうやって知ることができますか?
これは、 長すぎる の間ぶらぶらしていたバグであり、後のバージョン(6.0p1)で修正されていると思います。
制限されるホストから自分でシステムに接続し、別のキーを使用して、どのメッセージが表示されるかを確認することで、これを確認するのはかなり簡単です。
このmightは OpenSSHの長年のバグ でした 6.0p1で修正 。その場合、無視しても問題ありません。ただし、安全を確保したい場合、元の答えは(このバグの影響を受けていないと仮定して)次のとおりです。
誰かがあなたのrootアカウントにログインするための有効な秘密鍵を持っていたため、あなたのssh秘密鍵が危険にさらされている可能性があります。許可されたIPアドレスから誰かがログインしなかったという事実は、さらなる侵害からあなたを救いました。それにもかかわらず、これは重大な妥協案です。これは、ワークステーション(または通常作業する他のマシン)が危険にさらされていることを示しています。
触れるすべてのワークステーションとサーバーを潜在的に危険にさらされているものとして扱う必要があります。ワークステーションをフォーマットして再インストールします。既存のsshキーをすべて取り消し/破棄allし、すべてを再入力します。すべてのパスワードを変更します。このキーを使用してログインするためにアクセスできるサーバーをすべて消去して再インストールすることを強く検討してください。