Via logwatch, recebo mensagens que o root está abrindo sessões “- nobody”. Isso é uma preocupação de segurança ou operação normal?

2

Aqui estão algumas linhas do logwatch:

pam_unix

sshd:   Authentication Failures:
     root (211.167.103.115): 5 Time(s)
     unknown (219.239.110.139): 1 Time(s)   Invalid Users:
     Unknown Account: 1 Time(s) 

su:   Sessions Opened:
     root -> nobody: 3 Time(s)

Agora, considerado sozinho, suponho que as entradas su sejam apenas alguns escalonamentos de privilégios cronometrados (ou descalação, conforme o caso), mas em conjunto com as tentativas padrão de quebra de senhas de root, elas são mais inquietante. Eu deveria estar preocupado com falhas de segurança devido a qualquer um desses conjuntos de entradas de aviso / logwatch?

    
por Kzqai 20.05.2011 / 17:36

1 resposta

4

Você não deve se preocupar com "falhas de autenticação" para o root - existem inúmeras ferramentas de malware e scriptkiddies experimentando senhas de root em todos os hosts que eles podem acessar. Contanto que você não permita logins root diretos e / ou tenha uma senha root não-dicionário suficientemente complexa, isso não é nada para se preocupar.

A raiz - > as sessões de ninguém são de fato privadas - algo que começa como root e altera o contexto de segurança para o usuário "ninguém" não-relegado - o que é uma boa prática de segurança.

    
por 20.05.2011 / 17:47