[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Göra burken säker?

On Tue, Mar 01, 2005 at 10:22:54AM +0100, timebandit wrote:

Först vill jag säga att jag är ingen expert på säkerhet, så ta mina
påståenden med en nypa salt, men här har du ändå min tolkning av det du
ser i din logg... :)


> Mitt första intrång imorse då :/
> Några bra sätt/knep/rekommendationer att göra burken säkrare?
> Kör Debian testing med 2.4.29 och endast fåtal portar öppna som,
> 22,25, 80,161, 443, 993...
> Mar  1 04:51:40 DZN sshd[23046]: Failed password for illegal user sonya from 198.104.144.59 port 42522 ssh2
> Mar  1 04:51:41 DZN sshd[23050]: Illegal user tony from 198.104.144.59
> Mar  1 04:51:41 DZN sshd[23050]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:41 DZN sshd[23050]: Failed password for illegal user tony from 198.104.144.59 port 42561 ssh2
> Mar  1 04:51:43 DZN sshd[23052]: Illegal user just from 198.104.144.59
> Mar  1 04:51:43 DZN sshd[23052]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:43 DZN sshd[23052]: Failed password for illegal user just from 198.104.144.59 port 42604 ssh2
> Mar  1 04:51:44 DZN sshd[23054]: Illegal user justice from 198.104.144.59
> Mar  1 04:51:44 DZN sshd[23054]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:44 DZN sshd[23054]: Failed password for illegal user justice from 198.104.144.59 port 42646 ssh2
> Mar  1 04:51:46 DZN sshd[23056]: Illegal user bank from 198.104.144.59
> Mar  1 04:51:46 DZN sshd[23056]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:46 DZN sshd[23056]: Failed password for illegal user bank from 198.104.144.59 port 42695 ssh2
> Mar  1 04:51:47 DZN sshd[23060]: Illegal user vip from 198.104.144.59
> Mar  1 04:51:47 DZN sshd[23060]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from 198.104.144.59 port 42735 ssh2

"normala" ssh attackförsök, inget som lyckades vad jag förstår av
dessa rader.


> Mar  1 06:25:04 DZN su[26029]: + ??? root:nobody
> Mar  1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by (uid=0)

Kika under /etc/cron.daily/ så ska du se att där finns ett skript som
heter find. Dethär skriptet kör updatedb, som uppdaterar locate
databasen, dvs gör så att du kan köra locate "filnamn", och få reda på
var en fil befinner sig, t. ex. kommandot locate resolv.conf berättar
att filen resolv.conf finns under /etc/resolv.conf.

Dethär skriptet (find), körs om jag förstått saken rätt, som användaren
nobody, dvs cron som kör find skriptet körs som root, men innan updatedb
körs så byts anvädaren till nobody, av säkerhetsskäl, eftersom det inte
behövs root rättigheter för att köra det, och root ska man ju inte köra
i onödan, vilket även detta skript respekterar :)
Skripten under /etc/cron.daily körs kl. 06:25, vilket du kan se (och
även ändra på om du vill) i filen /etc/crontab.

Det är alltså, såvitt jag kan förstå, rätta mig gärna någon med mera
insikt om crons innersta väsen :), dethär du ser i loggraderna ovan, och
jag tvivlar mycket starkt på att någon verkligen brutit sig in.


> Även en massa Failed password for root som finns i loggarna :/ Dem

Som andra redan påpekat,
PermitRootLogin no
AllowUsers användarnamn1 användarnamn2 osv (för de användare du vill
tillåta att logga in via ssh)
för säkerhets skull i /etc/ssh/sshd_conf skadar inte.


> lyckades tydligen ta sig in i morse men han dra ut nätverkskabeln innan
> dem gjorde nån skada... dem körde nått med find men hittar inget i
> loggarna där det visar vad dem gjorde :/

Som sagt, dethär är troligen ett helt normalt cron jobb, kika under
/etc/cron.daily så ser du allt vad som görs kl. 6:25 varje morgon.


Tomas
Reply to: