[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux-team] Intrusion ?



> Jul  4 08:57:32 linux01 PAM-securetty[6547]: Couldn't open /etc/securetty
> Jul  4 08:57:35 linux01 PAM_pwdb[6547]: (login) session opened for user root by (uid=0)
> Jul  4 08:57:35 linux01 login[6547]: ROOT LOGIN ON ttyp0 FROM cs302-66.spmodem.washington.edu
> Jul  4 08:57:35 linux01 PAM_pwdb[6547]: (login) session closed for user root

On dirait une tentative de login en tant que root, mais qui n'a pas marché.
Fais un peu un "faillog -u root" pour vérifier les dernières tentatives infructueuses
de login root.
Et... euh... t'as intérêt à faire

for t in 0 1 2 3 4 5; do echo "tty${t}" >> /etc/securetty; done

...question de limiter les logins root aux consoles 1 à 6.
Comme ça tu interdis le login à distance en tant que root.
Ca réduit déjà très, très fort les risques...

Parce que là, c'est le PAM qui vérifie /etc/passwd qui a refusé l'accès.
Or le mec pourrait recommencer... p'têt qu'en brute force, il pourrait y arriver
(encore que... ;)) ou avec beaucoup, beaucoup de bol :)
En tout cas, si tu crées un /etc/securetty, c'est le PAM-securetty (comme tu peux
le voir dans le log) qui refusera la connection en tant que root, de suite, sans
devoir vérifier le mot de passe.

A propos: PAM = Pluggable Authentication Module

  -o)  Pascal Bleser        | Instead of giving  Windows
  /\\  C++/UNIX Development | the "three-finger-salute",
 _\_v  ATOS Payment Systems | give it  the  "one-finger-
       Aachen, Germany      | goodbye" <jfk/propaganda>
pbleser@atos-group.com------------------guru@linuxbe.org
---------
This message was sent by Majordomo 1.94.3. Please report problems to
manu@rtfm.be. If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.