LINUX.ORG.RU
ФорумAdmin

Дал пароль root'а и не знаю, что теперь делать...


0

0

Я являюсь администратором LINUX-сервера в одной организации. Работы много, пришлось взять на работу мне в помощники одного студентика. Я его на свою голову многому научил, пароль администратора (root'а) ему дал (знаю, что так делать было нельзя, для этого есть sudo, но что сделал, то сделал). Студентика со скандалом пришлось уволить (пытался ксоммуниздить принтер). И вот проблема. Пароль администратора я, конечно, сменил. Да что толку. Я вот решил сам проверить. Взял скопировал в недра файловой системы (в партицию, где у меня FTP-архив)команду UNIX cp и файл /etc/shadow. Установил для cp соответствующие атрибуты, так чтобы ее мог запускать обычный юзер, переименовал страшным образом оба файла и вуаля. Теперь достаточно иметь права простого юзера (а их более сотни), чтобы восстановить старый пароль администратора. А что если что-то подобное сделал этот студиозус? Мне что теперь надо все сносить, чтобы быть уверенным в безопасности сервера? У меня FTP-архив >20 ГБ, заново его создавать даже страшно представить. Неужели в UNIX нет возможно разумно выбраться из такой ж...ы, в которую я себя засунул?

anonymous

chattr -i на passwd и shadow

anonymous
()

А ты не думал, что он мог троянов понаставить?
Нет ли несанкционированно открытых портов?
И как можно восстановить старый пароль администратора простому юзеру, еcли только root имеет право записи в /etc/shadow?
Вообще, если система скомпрометирована, то надо переустанавливаться с trusted media (являются ли таковыми ваши бэкапы?)
P.S. а что, этот ftp-архив нельзя скопировать куда-нибудь, а после восстановления на место вернуть?

anonymous
()

Может помочь - если chattr тоже не скопирован. Ибо что один chattr запретил - другой chattr завсегда разрешить может.

Более радикально: поменять _все_ пароли и:
find / -user root | xargs chmod u-s
и так далее - для всех опасных пользователей. Сложнее избавиться от закладок в программах, выполняемых root. Тут можно попытаться сравнить выполнимые файлы c контрольными экземплярами(из дистрибутива, если он есть) - или установить из нового(что более болезненно)

DonkeyHot ★★★★★
()

Проблема может быть с программами с установленным битом SUID/SGID, их можно найти такой командой:
find / -perm +6000

Но даже, если не появилось новых таких программ, это еще не значит, что не заменены стандартные, или вообще ядро, или rootkit какой не поставлен... Если ты не пользовался чем-нибудь типа tripwire, то гарантии может дать только полная переустановка системы.

P.S. А что ты этому гражданину оставил обычный аккаунт?

anonymous
()

А как он это добро запустит? Отключи удаленный доступ из других сетей. Если есть www, то в нем надо посмотреть внимательно нет ли там каких подозрительных скриптов. Может они вызывают что-то. Потом посмотри все ли ок в кроне. Не вызывается ли чего при загрузке. Ну и посмотри что работает в данный момент. Можешь попробовать выбрать все исполняемые файлы, созданные после определенного момента.

anonymous
()

Аккаунт гражданина я, конечно, похерил, да у меня нет гарантии, что он не знает пароли некоторых пользователей. Заставлять всех их менять пароли накладно, да и кто знает, может у него есть среди них "доброжелатели". Систему переустановить можно и не так долго. Я могу отформатировать ситемную партицию и все поставить заново. Но торян может быть запрятан в огромном FTP-архиве, который на другом диске. Не сносить же весь архив!

Команду find / -perm +6000 я выполнил, вроде все нормально. Спасибо всем за помощь.

anonymous
()

если ftp-архив лежит на отдельной партиции, то можно прописать в fstab опции nodev,nosuid

SadStork
()

забыл еще сказать про noexec - все равно ведь там никакие запускаемые файлы не нужны

SadStork
()

За последние 2 письма большое спасибо. Я сам не додумался, а ведь знал...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.