hello
我有一台 ubuntu 服务器,上面运行着名为 django 的网站。以下是我在这里创建用户访问权限的方式:
mkdir /hosting/hello
groupadd --system hosting
useradd --system --gid hosting --shell /bin/bash --home-dir /hosting/hello hello
passwd hello
chown -R hello /hosting/hello
chmod -R u+w /hosting/hello
* all project is stored under /hosting/hello directory
该服务器上有django
实例和数据库正在运行。postgresql
因此,hello
是一个普通的非管理员用户,没有任何额外的权限(我希望它配置正确......不是吗?)
除了我之外没有人知道 root 密码。有几位开发人员正在从事这个项目,他们都知道用户 的密码hello
。现在一位开发人员(我们叫他Bob
)辞职了。我需要确保他无法访问此服务器(启用偏执模式)。所以我现在执行了以下步骤:
- 更改用户密码
hello
- 修改postgresql数据库的密码
- 从服务器中删除了 Bob 的 ssh 公钥
确保 Bob 现在无法访问服务器就足够了吗?我不想重新安装所有东西,但我担心 Bob 在退出之前会留下一些后门。他没有理由这样做,但我的偏执模式仍然开启)
答案1
对于离开前没有执行任何恶意步骤的用户,我认为您的方法是正确的。
但是如果您担心可能存在后门,我建议:
- 如果您不需要在服务器上浏览互联网,请在防火墙上将其切断。如果需要,请尝试选择允许服务器访问的端口和目的地。
- 监控网络连接
netstat
通常使用不同的交换机给你不同的信息,用来-p
查看进程id,-ant
查看所有的tcp连接。 - 如果你发现某个进程产生了奇怪的连接,你可以跟踪它使用的文件
lsof
- 检查 crontab 以查看是否有任何计划任务正在打开连接。从他有访问权限的用户和 root 处读取
/etc/crontab
并检查。crontab -e
这应该是捕获真正简单的后门的方法,但是,如果您谈论的是 rootkit,那么很可能无法分辨...如果您真的怀疑该家伙做了什么,我会擦除服务器并将 Django 实例移动到新的安装中。
希望能帮助到你!