我的服务器(Arch Linux)遭受过相当多的 ssh 暴力攻击。
我最近检查了身份验证日志,其中发现了一个可疑条目(但没有我以外的任何人成功登录):
passwd[#####]: password for 'polkitd' changed by 'root'
我很确定我没有亲自更改它,因为我没有使用 polkit。但我认为那天我运行了 pacman -Syu。而且 polkitd 没有运行,也没有由 polkit 用户启动的进程在运行。这可能是 pacman 造成的吗?
答案1
Pacman 确实更改了 polkit 的密码。这似乎是一项安全改进。
为了检查这一点,我做了以下事情(感谢@Thomas):
find /var/lib/pacman -name install -exec grep -l passwd "{}" \;
它给了我一个文件列表;其中一个是./local/polkit-0.113+29+g3272a98-1/install
快速检查后发现有一条线passwd -l polkitd &>/dev/null
这解释了一切。