服务器是否能够读取除默认公钥之外的公钥authorized_keys
?我有一台基于 Linux 的服务器,由多位管理员管理。其中一位管理员已从公司辞职。我猜他可能添加了类似后门访问的东西。只是想确定这是否可行。谢谢。
答案1
虽然在某种程度上你必须信任别人,但如果你不信任这个人,你可以启动安全事件响应计划。采取一个全面的方法,正如关于我该如何处理受到感染的服务器?
来自sshd 手册请注意,该AuthorizedKeysFile
指令可以更改用户用于身份验证的公钥文件。仅查看这一点不够在受感染的主机上,因为他们可以轻松运行不同的隐藏 sshd 或其他恶意软件。
答案2
首先,如果有人知识渊博、不择手段,并完全访问了一台机器,那么你就无法完全保证该机器没有受到损害。
也就是说,如果您只想检查与您的问题相关的几个简单的事情:
- 检查 sshd 配置(可能是
/etc/ssh/sshd_config
),看看它是否包含多个值AuthorizedKeysFile
。 - 如果您仍然拥有用户的原始信息
~/.ssh/authorized_keys
,请在其他主目录中查找相同的键值,以确认他们没有简单地将其密钥附加到具有服务器管理权限的另一个用户帐户的密钥上。 - 运行
visudo
,并检查您的/etc/passwd
搜索是否存在意外的权限和用户帐户。