Revoga o acesso do ex-clolaborator ao servidor ubuntu

1

Eu tenho um servidor Ubuntu com o site do django chamado hello rodando nele. Foi assim que criei o acesso do usuário aqui:

mkdir /hosting/hello
groupadd --system hosting
useradd --system --gid hosting --shell /bin/bash --home-dir /hosting/hello hello
passwd hello
chown -R hello /hosting/hello
chmod -R u+w /hosting/hello
* all project is stored under /hosting/hello directory

Existem bancos de dados django e postgresql em execução neste servidor.

Portanto, hello é um usuário não administrador normal, sem nenhuma permissão extra (espero que esteja configurado corretamente ... não é?)

Ninguém, exceto eu, sabe a senha do root. Vários desenvolvedores estão trabalhando neste projeto e todos sabem a senha do usuário hello . Agora um desenvolvedor (vamos chamá-lo de Bob ) saiu do emprego. Eu preciso ter certeza de que ele não poderia acessar este servidor (modo paranóico ligado). Então eu fiz estes passos agora:

  • alterou a senha para o usuário hello
  • alterou a senha para o banco de dados postgresql
  • removeu a chave pública ssh de Bob do servidor

É suficiente ter certeza de que Bob não pode acessar o servidor agora? Eu não quero reinstalar tudo, mas me preocupo se Bob puder deixar alguns backdoors antes de sair. Não havia razões para ele fazer isso, mas meu modo paranóico ainda está ligado)

    
por Antonio 17.11.2018 / 14:24

1 resposta

2

para um usuário que não realizou nenhuma etapa maliciosa antes de sair, acho que sua abordagem está correta.

No entanto, se estiver preocupado com possíveis backdoors, recomendo:

  • Se você não precisar navegar na Internet no servidor, recorte-o no firewall. Se fizer isso, tente ser seletivo em portas e destinos aos quais o servidor tem permissão.
  • monitore as conexões de rede usando netstat normalmente, diferentes switches fornecem diferentes informações, use -p para ver o ID do processo, -ant para ver todas as conexões tcp.
  • Se você encontrou um processo que gera conexões estranhas, você pode seguir os arquivos que ele usa com lsof
  • Verifique no crontab para ver se alguma tarefa agendada está abrindo conexões. Leia /etc/crontab e verifique crontab -e do usuário que ele acessou e raiz.

Esta deve ser a maneira de capturar backdoors realmente simples, no entanto, se você estiver falando sobre rootkits, provavelmente será impossível dizer ... se você realmente suspeitar que o cara fez alguma coisa, eu limparia o servidor e mova a instância do Django para uma nova instalação.

Espero que ajude!

    
por 17.11.2018 / 15:10