[Tech] quanto sicuro è /bin/false ?
Gian
g.ciotti@tirrenide.net
Mer 26 Mar 2008 20:54:27 CET
On 24.03.08, 20:07, Leonardo Boselli wrote:
> Un disgraziato utente dei miei server ha avuto la password caduta in mano
> di un cracker.
> stanotto costui da un luogo remoto dell'asia è entrato e fatto i cavoli
> suoi. dopo poche ore ho disabilitato l'utente. verso le 11 il sistema
> chiama; è il cracker che ha tsentato più volte senza successo di
> rientrare con l'account compromesso.
> per maggior sicurezza do in pasto a una riga di iptables che finisce con
> drop tutto il blocco di indirizzi da cui venivano gli attacchi.
> nel log dopo quell'ultimo tentativo non trovo più nulla .
> verso le 19 mi giunge un altro messaggio: ci sono diversi tentativi, che
> suppongo genuini di ingresso da parte del vero utente che a sua vlta non
> entra.
> che posso fidarmi a riabilitarlo, e mettergli /bin/false come shell in modo
> che possa accedere SOLO a imap4 ????
assolutamente no[*], a meno che tu non sia ancora piu' assolutamente sicuro
che il cracker non sia riuscito a fare altro se non una "gita turistica"
nel sistema evitando di installare/riconfigurare qualsiasi cosa in maniera
simpaticamente (dipende dai punti di vista) "impropria".
[*] il "no" e' da intendersi per l'intero sistema e non solo per il
ripristino dell'utente: non so che dati tratti e se valga la pena
denunciare il fatto alla polizia postale, ma sicuramente il ripristino
di un backup pre-intrusione al sistema e' da prendere in seria
considerazione (alternativamente la reinstallazione di un sistema
pulito).
--
Gian
member of A.G.O.W. #C10771
and orgoglione to be!
:(){ :|:&};:
Maggiori informazioni sulla lista
flug-tech