今天早上,我发现自己无法登录我的一台(CentOS 6)服务器上的 root 帐户。我启动到单用户模式并重置了 root 密码。现在一切似乎都正常了。
我有许多监控指标来监控此服务器的行为,没有发现任何恶意活动的证据。但是,如果不完全重新安装操作系统,我不确定是否可以信任此服务器的安全性。
- 我可以采取什么步骤来诊断这个问题的原因?
- 理论上,可能有人对我的机器拥有 root 访问权限。有什么方法可以排除这种可能性吗?
答案1
您可能只是忘记了密码,我就遇到过这种情况。:-)
如果您的服务器被入侵,那么您就不能信任存储在其上的数据或代码。也许您有一些外部日志记录工具,例如:
- 远程系统日志服务器,
- 记录连接的防火墙设备,
- 或者甚至只是一个记录连接的管理型交换机?
我会毫不犹豫地重新安装这台机器。同时尝试配置远程日志记录位置;您可以使用其中一台服务器来实现这一点。我建议阅读一些有关配置可能性(如可用协议)的内容;这似乎是一份很好的知识汇总: