Então, como foi feito e por que isso foi possível: Foi ataque de força bruta habitual (e eu não protegi o sistema dele), mas havia várias condições prévias:
1) sistema associado ao anúncio
2) winbind configurado e rodando no sistema
3) Existe tal nome de usuário no linux pc e no AD, e há um shell normal em / etc / passwd (interessante, porque os usuários do sistema Debian tem / bin / sh por padrão)
4) /etc/pam.d/ssh configurado para usar a senha winbind e o servidor ssh configurado para usar o PAM (ambos configurados de tal forma por padrão)
Como resultado, qualquer usuário do domínio pode efetuar login com suas credenciais se houver usuário com o mesmo nome no linux.