LINUX.ORG.RU

Непонятные записи .ssh/known_hosts

 , , ,


0

5

Всем привет, подскажите, есть в системе user1 и user2, первый это обычный пользователь, а юзер2 содержит в хомяке несколько программ которые запускаются на иксах юзера1 через xhost от имени юзер2, юзер2 имеет разрешение 700 на хомяке и в итоге никогда не используется кроме как для запуска от его имени программ.

И странная ерунда, в хомяке user2 появилась папка .ssh, а в ней known_hosts, т.е. будто бы от имени юзер2 через опенссх клиент было подключение куда-то, чего 100% не было, в файлике записи нескольких ключей. В хомяке юзер2 важные файлы (приватные ключи от криптокошелей).

Так же я совершаю подключения к разным ссх серверам от имени юзер1, но опенссх не может и не должен записывать же во всех хомяков известные хосты не так ли?

ВОПРОС, как это произошло? Потому как у меня немного мандраж от идеи, что какая-то бяка проникла в защищенную область.

p.s. удалил эти записи вместе с папкой.

p.s. удалил эти записи вместе с папкой.

Удалил все улики и шанс разобраться. ;) Верной дорогой идёшь товарищ!

beastie ★★★★★
()

от имени юзер2 через опенссх клиент было подключение куда-то

все правильно сказал. теперь подбери сопли, прими это как данность и спокойненько объясни.

.bash_history его уже перечитал?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Его нету впринципе, есть только drwx------ 13 bitcoin bitcoin 4,0K Jan 25 16:58 . drwxr-xr-x 5 root root 4,0K Nov 12 13:26 .. -rw-r--r-- 1 bitcoin bitcoin 220 Sep 1 2015 .bash_logout -rw-r--r-- 1 bitcoin bitcoin 4,0K Nov 21 2016 .bashrc

cheetah111v
() автор топика
Ответ на: комментарий от cheetah111v

Какой у него логиншелл? Есть ли в логах инфа о его интерактивных логинах? Что ты от него запускал?

t184256 ★★★★★
()

файлы (приватные ключи от криптокошелей).

В 2018 пора бы уже хранить ключи не в файлах, а в железных кошельках типа трезора.

deadNightTiger ★★★★★
()
Ответ на: комментарий от t184256

У него ничего нету, это свежесозданный юзер хомяк которого имеет разреения 700, я хз где логи посмотреть. Но я запускаю из под него вот так xhost + ; sudo su -l bitcoin -c 'ionice -c 3 nice -n 5 /home/bitcoin/Electrum/electrum' & 2

cheetah111v
() автор топика
Ответ на: комментарий от cheetah111v

xhost + ; sudo su -l bitcoin -c 'ionice -c 3 nice -n 5 /home/bitcoin/Electrum/electrum' & 2

Не знаю, что конкретно у тебя пошло не так, но в этой строке прекрасно все: и xhost +, и sudo su.

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

Во-1 конкретно что «прекрасно»?

Во-2 пошло не так наличие непонятных записей ссх в папке юзера который не должен по определению никак иметь дел с ссх

cheetah111v
() автор топика
Ответ на: комментарий от Aber

Везде юзер1, ничего подозрительного не наблюдается, разве что 18:30:16 up 3 days, 5:45, 3 users, load average: 0,29, 0,37, 0,48

3 users, user pts/0 :0 Mon12 3days 0.00s 4:33 kded5 [kdeinit5] user pts/3 :0 18:19 10:24 0.03s 0.03s /bin/bash user pts/4 :0 18:21 0.00s 0.09s 0.00s w

cheetah111v
() автор топика
Ответ на: комментарий от beastie

OK, переделаю.

Обнаружилось, что в хомяке рута так же присутствует папка .ssh/known_hosts, хотя я ни разу не соединялся с ссх сервером от рута, и в ней те же записи что и в папке юзера2, о чем это может говорить? Ни одна запись не соответствует записям из папки /home/user/.ssh/ регулярного пользователя который обычно соединяется с серверами ссх

cheetah111v
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.