Ответы на вопросы
Авторы: © The Answer Gang
|
От Ted Mims Ответил Dan Wilder Надеюсь, что Вы сможете мне помочь. Я работаю под Linux 6.0 и несколько недель назад моя система была взломана: прежде всего, было установлено несколько защищенных irc каналов и изменена настройка dns для потребностей хакера (хотя в точности я не уверен). Так или иначе, он сделал так, чтобы мой securetty файл игнорировался. Я безуспешно пытаюсь закрыть доступ root-у через telnet. Файл securetty имеет правильный формат и разрешения, и pam_securetty.so не закомментирован в файле /etc/pam.d/login. Есть ли какие-нибудь предложения? Все, что я хочу сделать - заново ограничить прямой доступ root-а. Был бы рад любой информации по этомувопросу.
[Dan] В общем, нужно сделать вот что: переустановить систему, установить необходимый уровень безопасности, скопировать на нее старые данные. К сожалению, как только система скомпрометирована, Вы не можете доверять составляющим этой системы. Квалифицированный взломщик, хотя это можно сделать и без особых навыкоа, но вооруженный на сегодняшний день скриптом kiddees (?), заменит системные исполняемые файлы типа /bin/login, /bin/ls, /bin/ps, и т.д. и т.п. Пытаясь восстановить работающую систему, Вы оказываетесь в королевстве кривых зеркал. Особенно, если Вы делаете попытку этого восстановления, в то время как система соединена с сетью. Я знаю очень немного сисадминов, кто взялся бы за такую проблему, еще меньше, кто был бы уверен в успехе, и почти никого, кто делал бы это кроме как на спор или из спортивного интереса. Я был бы последним человеком, предлагая Вам сделать это, основываясь только на этих нескольких примерах. Разумный путь - новая установка на новом жестком диске. Делайте это на системе, не подключенной к внешней сети. Запретите все службы, в которых система не нуждается, исключая их из файла конфигурации /etc/inetd.conf или эквивалентного xinetd. Установите безопасные пароли для всех акаунтов. Теперь возьмите жесткий диск со старой системы и примонтируйте его, например к точке /mnt. Скопируйте ценные данные от старого жесткого диска на новый. Тщательно проверьте скопированные файлы конфигурации. Взамен telnet-а подумайте об установке ssh или openssh, если Вам все же нужен удаленный доступ, или если в Вашей локалке хостов больше, чем просто горстка, или в ней есть юзеры, не внушающие особого доверия. Знайте, что даже ssh - не является на 100% непроницаемым. .... Ted нашел неисправность ...<отступление> Указание номера версии "6.0" мало что значит без указания дистрибутива, например "Red Hat" или "SuSE". Каждый дистрибьютор Linux, следует своей системе нумерации версий, и говорить о соответствии версий можно только с грубым приближением. </отступление> . Мне просто нужно было просто написать кому-нибудь об этом. Я сам в одиночку вычислил неисправность. В любом случае спасибо. Суть была в том, что он обошел pam и отослал его обратно файлу login.defs, в котором, разумеется, не было директивы CONSOLE. Ted H. Mims
|
Copyright © 2000, The Answer Gang. Copying license http://www.linuxgazette.com/copying.html Published in Issue 61 of Linux Gazette, January 2001 |
Вернуться на главную страницу |