Via logwatch, recebo mensagens que o root está abrindo sessões “- nobody”. Isso é uma preocupação de segurança ou operação normal?

Question

Via logwatch, recebo mensagens que o root está abrindo sessões “- nobody”. Isso é uma preocupação de segurança ou operação normal?

#1 resposta do (4 votos)

2

Aqui estão algumas linhas do logwatch:

pam_unix

sshd:   Authentication Failures:
     root (211.167.103.115): 5 Time(s)
     unknown (219.239.110.139): 1 Time(s)   Invalid Users:
     Unknown Account: 1 Time(s) 

su:   Sessions Opened:
     root -> nobody: 3 Time(s)

Agora, considerado sozinho, suponho que as entradas su sejam apenas alguns escalonamentos de privilégios cronometrados (ou descalação, conforme o caso), mas em conjunto com as tentativas padrão de quebra de senhas de root, elas são mais inquietante. Eu deveria estar preocupado com falhas de segurança devido a qualquer um desses conjuntos de entradas de aviso / logwatch?

ssh security logging logwatch

por Kzqai 20.05.2011 / 17:36

1 resposta

Tags ssh security logging logwatch

Como você lida com IPs maliciosos? Convertendo o WMI do vbscript para o powershell

score 4 · Accepted Answer

Você não deve se preocupar com "falhas de autenticação" para o root - existem inúmeras ferramentas de malware e scriptkiddies experimentando senhas de root em todos os hosts que eles podem acessar. Contanto que você não permita logins root diretos e / ou tenha uma senha root não-dicionário suficientemente complexa, isso não é nada para se preocupar.

A raiz - > as sessões de ninguém são de fato privadas - algo que começa como root e altera o contexto de segurança para o usuário "ninguém" não-relegado - o que é uma boa prática de segurança.