Re: Göra burken säker?

To: debian-user-swedish@lists.debian.org
Subject: Re: Göra burken säker?
From: Johan Björklund <the@whero.net>
Date: Tue, 1 Mar 2005 10:46:01 +0100
Message-id: <[🔎] 20050301094601.GE32403@whero.net>
Mail-followup-to: debian-user-swedish@lists.debian.org
In-reply-to: <[🔎] 20050301101704.2A41.TIMEBANDIT@dzn.mine.nu>
References: <[🔎] 20050301101704.2A41.TIMEBANDIT@dzn.mine.nu>

On Tue, Mar 01, 2005 at 10:22 CET, 
	 timebandit <timebandit@dzn.mine.nu> wrote:
> Mitt första intrång imorse då :/
> Några bra sätt/knep/rekommendationer att göra burken säkrare?
> Kör Debian testing med 2.4.29 och endast fåtal portar öppna som,
[..]

Hejsan,

det ser ut som om någon försöker gissa användare och lösenord på ditt
system för SSH. Det är förhoppningsvis ganska ofarligt så länge de
användare du har på systemet har hyggligt svåra lösenord.

Ett alternativ om du vill att det ska vara säkrare är att bara tillåta
inloggning med SSH-nycklar. Nackdelen är att du måste ha tillgång till
din SSH-nyckel för att logga in. Det går förvisso att lösa ganska snyggt
t.ex. med USB-minne som du alltid har med dig om du reser mycket.

En annan variant är att bara tillåta ssh från vissa IP-adresser.

Gällande http/https är det bästa du kan göra att se till att de
eventuella php-applikationer du kör alltid är patchade upp till
tänderna. Samma sak gäller med CGI-script. Det är mer troligt att någon
hackar din maskin den vägen än via ssh (jag har blivit hackad via php).

> Mar  1 06:25:04 DZN su[26029]: + ??? root:nobody
> Mar  1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by (uid=0)
> 
> Även en massa Failed password for root som finns i loggarna :/ Dem
> lyckades tydligen ta sig in i morse men han dra ut nätverkskabeln innan
> dem gjorde nån skada... dem körde nått med find men hittar inget i
> loggarna där det visar vad dem gjorde :/

Detdär ser ut om vanliga cron och är ofarliga. Find i sig var troligtvis
scriptet /etc/cron.daily/find som kördes om det var nån gång runt 06:25.

Om du misstänker att de har installerat ett root-kit kan du installera
och köra chkrootkit. 

Nu är det så att har du blivit hackad måste du (enligt mig, det finns
garanterat de som tycker annorlunda) installera om din maskin. Det finns
inga (återigen, nån tycker säkert annorlunda) sätt att vara helt säker
på att maskinen är återställd till 100% och att det inte finns några
bakdörrar kvar. Ja, jag ominstallerade när jag hade blivit hackad.

mvh
-- 
+-----------------------------------------------------------+
| Johan Björklund <the@whero.net> http://whero.net/         |
|  PGP = 813B 014F C0FA B56C FA70  31DC 1C11 3A20 B02B C881 |
+-----------------------------------------------------------+
| Even bytes get lonely for a little bit.
+-------------------------------- ------ ----- ---- --- -- -

Reply to:

References:
- Göra burken säker?
  - From: timebandit <timebandit@dzn.mine.nu>

Prev by Date: Göra burken säker?
Next by Date: Re: Göra burken säker?
Previous by thread: Göra burken säker?
Next by thread: Re: Göra burken säker?
Index(es):
- Date
- Thread