Während eines Audits /var/log/auth.log
auf einem meiner öffentlichen Webserver fand ich Folgendes:
Jan 10 03:38:11 Bucksnort sshd[3571]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=61.19.255.53 user=bin
Jan 10 03:38:13 Bucksnort sshd[3571]: Failed password for bin from 61.19.255.53
port 50647 ssh2
Auf den ersten Blick sieht dies wie typischer ssh
Login-Spam von zufälligen Hackern aus. Als ich genauer hinsah, bemerkte ich jedoch etwas anderes. In den meisten fehlgeschlagenen /var/log/auth.log
Einträgen heißt invalid user
es wie folgt:
Jan 9 10:45:23 Bucksnort sshd[3006]: Failed password for invalid user sales
from 123.212.43.5 port 10552 ssh2
Die beunruhigende Sache über diese Login - Nachricht fehlgeschlagen für bin
ist , dass es sich um eine gültige Benutzer in /etc/passwd
diesem selbst hat eine Login - Shell:
[mpenning@Bucksnort ~]$ grep ^bin /etc/passwd
bin:x:2:2:bin:/bin:/bin/sh
Ich dachte , ich bedeckt hatte , die alle Standardbenutzernamen , die remote könnte anmelden , wenn ich deaktiviert PermitRootLogin
in /etc/ssh/sshd_config
; das entdecken dieses eintrags eröffnete neue möglichkeiten in meinem paranoiden verstand. Wenn irgendwie Dienste bin
unterliefen, ist es aus der Ferne möglich, dass jemand einen SSH-Schlüssel bin
aus einem auf der Box ausgeführten Dienst in das Benutzerverzeichnis einfügt, sodass ich die Anmeldung für den bin
Benutzer nach Möglichkeit vollständig deaktivieren möchte .
Fragen
Dieser Server ist remote und teuer zu reparieren (dh ich bezahle für Remote-Hände, um eine KVM plus KVM-Miete anzuschließen). Ich versuche herauszufinden, was ich brechen könnte, wenn ich den
/etc/passwd
Eintrag so änderebin
:bin:x:2:2:bin:/bin:/bin/false
Ich habe die folgenden Befehle ausgeführt, um herauszufinden, wofür sie
bin
benötigt werden ... Diese Befehle enthielten jedoch keine Dateien und ich konnte keine Prozesse finden, deren Eigentümer ich warbin
. Was macht derbin
Benutzer überhaupt?$ sudo find / -group bin
$ sudo find / -user bin
Gibt es andere Benutzer, deren Login-Shells auf festgelegt werden sollen
/bin/false
? Zu Ihrer Information, ich habe bereits/bin/false
aufwww-data
.Bin ich zu paranoid?
Ich verwende Debian, wenn es darauf ankommt.