通过 logwatch,我收到消息称 root 正在打开会话“-> nobody”。这是安全问题还是正常操作?

通过 logwatch,我收到消息称 root 正在打开会话“-> nobody”。这是安全问题还是正常操作?

以下是来自 logwatch 的一些内容:

pam_unix

sshd:   Authentication Failures:
     root (211.167.103.115): 5 Time(s)
     unknown (219.239.110.139): 1 Time(s)   Invalid Users:
     Unknown Account: 1 Time(s) 

su:   Sessions Opened:
     root -> nobody: 3 Time(s)

现在,单独来看,我会假设这些su条目只是一些定时的特权升级(或降级,视情况而定),但与标准的 root 密码破解尝试相结合,它们更加令人不安。我是否应该担心由于这些通知/日志监视条目中的任何一组而导致的安全漏洞?

答案1

您不必担心 root 的“身份验证失败”——有无数的恶意软件和脚本小子工具在它们可以访问的每个主机上尝试 root 密码。只要您不允许直接 root 登录和/或拥有足够复杂的非字典 root 密码,就无需担心。

root -> nobody 会话确实被放弃了特权 - 以 root 身份启动并将安全上下文更改为无特权的“nobody”用户 - 这是一种良好的安全实践。

相关内容