OpenSSH: hackeado antes de configurar?

Navegue suas respostas
0

Hoje eu tentei configurar o OpenSSH no meu computador com a esperança de poder se conectar a ele de um computador diferente no trabalho. Esta foi a primeira vez que tentei usar o open-ssh.

Eu fiz os seguintes passos:

  • sudo apt-get install openssh-server
  • modificado /etc/ssh/sshd_config
    • alterou a porta de 22 para um número acima de 2000
    • alterou o PermitRootLogin para no
    • alterou PasswordAuthentication para no
  • fez /etc/init.d/ssh restart

Basicamente, tentei seguir todas as regras de segurança estabelecidas na documentação on-line. Eu então enganei um pouco tentando configurar o encaminhamento de porta no roteador.

Presumi que, como não tinha gerado nenhuma chave nem configurado senhas explicitamente, ninguém poderia acessar o servidor que, na verdade, estava em execução.

A minha pergunta, basicamente, é que agora estou preocupado com alguns fatores: minha Internet parece mais lenta e alguns aplicativos tiveram problemas inesperados. Parece que, de repente, meu computador se tornou menos confiável e meu pensamento automático foi verificar minha suposição de que um servidor open-ssh não está acessível se suas chaves não foram geradas e nenhuma senha foi configurada.

Minha pergunta então, qual é o estado do servidor open-ssh quando ele é reiniciado pela primeira vez? Existe alguma maneira que possa ser acessada por pessoas mal-intencionadas do lado de fora? Como não cheguei ao ponto de configurar senhas ou certificados (porque fiquei com medo), em que ponto o servidor open-ssh se torna uma responsabilidade (isto é, hackable)?

Eu meio que não consigo imaginar que o servidor seja instantaneamente acessível com algum tipo de senha padrão: isso seria muito fácil de se aproveitar, certo? Ao mesmo tempo, porém, estou preocupado porque tudo isso é muito novo para mim.

Algumas coisas que vejo em /var/log/auth.log me preocuparam:

  • mensagens de polkitd(authority=local) dizendo algo sobre um Agente de Autenticação Não Registrada
  • tentativas repetidas de acessar /lib/security/pam_kwallet.so
  • mensagem de que /tmp/.X11-unix/X0 foi vinculado a /run/user/112/X11-display (quem é o usuário 112?)

Eu olhei cada um deles e parece que eles podem ser explicados, mas, ao mesmo tempo, um computador sem essa tentativa de configurar o openssh tem decididamente menos mensagens estranhas como essa.

esperando que alguém possa me consolar.

    
por ttheb 31.08.2014 / 04:40

1 resposta

0

Eu duvido que você tenha sido hackeado. Talvez algum bot automatizado TRIED fazendo alguma coisa, mas duvido que isso tenha acontecido ..

Se você desativou a Autenticação de senha e não teve uma configuração de chave pública, há muito poucas chances de que algo aconteça.

Em resposta às suas auth.log consultas:

  1. Isso é apenas o PAM reclamando sobre algo. Geralmente apenas um erro de programação ou uma má dependência. Certos SSH em falta, talvez? ( Nada para se preocupar )
  2. Praticamente a mesma coisa que o nº 1. Eu suponho que alguém ( sshd ) estava tentando encontrar certificados e não os encontrou. Certs geralmente são armazenados em coisas chamadas "carteiras". ( Nada para se preocupar )
  3. O usuário 112 é o usuário LightDM. É completamente normal que ele esteja conversando com o Xserver. ( Nada para se preocupar )

Em relação à instabilidade e velocidade da rede, você acabou de ativar um servidor. Definitivamente será mais lento. Mesmo que nada esteja acontecendo. O aumento no travamento do programa também está provavelmente relacionado. Mais recursos estão sendo usados em seu computador agora. Talvez existam alguns problemas de configuração.

Além disso, lidei com hackers. Se eles procuram documentos confidenciais e não os encontram, eles costumam vasculhar. Eles vão apagar arquivos aleatórios. Eles vão limpar discos rígidos. Eles vão deixar seu sistema uma bagunça quebrada. Eu acho que você está segura.

    
por Kaz Wolfe 31.08.2014 / 05:01
Ubuntu (14.04) tela pequena no VMware (4.2.12) xsane detecta o scanner mas congela ao digitalizar