logwatchを介して、rootがセッション「-> nobody」を開いているというメッセージが表示されます。これはセキュリティ上の懸念ですか、それとも通常の操作ですか?
Logwatchからのいくつかの行は次のとおりです。
pam_unix
sshd: Authentication Failures:
root (211.167.103.115): 5 Time(s)
unknown (219.239.110.139): 1 Time(s) Invalid Users:
Unknown Account: 1 Time(s)
su: Sessions Opened:
root -> nobody: 3 Time(s)
さて、単独で考えると、suエントリは、特権の昇格(または場合によっては昇格)の一部であると思いますが、ルートパスワードクラッキングの標準的な試みと組み合わせると、それ以上のものになります。不安。これらの一連の通知/ログウォッチエントリのいずれかによるセキュリティホールについて心配する必要がありますか?
ルートの「認証の失敗」について心配する必要はありません。到達可能なすべてのホストでルートパスワードを試行するマルウェアやスクリプトキディツールが無数にあります。直接rootログインを許可しないか、十分に複雑な非辞書rootパスワードを持っている限り、これは心配する必要はありません。
Root-> nobodyセッションは、実際に削除された特権(rootとして開始され、セキュリティコンテキストを特権のない「nobody」ユーザーに変更するもの)です。これは、優れたセキュリティプラクティスです。