/etc/passwd был усечен

Question

/etc/passwd был усечен

Сегодня мне позвонил сотрудник службы безопасности и сказал, что файл / etc / passwd одной машины урезан (0 байт). То же самое случилось с / etc / group пару дней назад.

Я пытался выяснить причину, но у меня ничего не получилось... может кто-нибудь дать мне подсказку, где мне искать?

Я использую Red Hat 5.7 x86_64.

0

linux redhat

Источник

jyz 15 фев '13 в 17:37

3 ответа

Другие вопросы по тегам linux redhat

MadHatter 15 фев '13 в 17:50 2013-02-15 17:50 · Answer 1 · 2013-02-15 17:50

Если вы думаете, что вас взломали, я настоятельно рекомендую Как мне работать с взломанным сервером?,

В противном случае проверьте root .bash_history, ищет такие вещи, как перенаправление вывода на /etc/passwd, Если вы используете sudo чтобы контролировать root-доступ, проверяйте журналы sudo примерно в то же время (время модификации файла сообщит вам, когда он был обнулен, скорее всего).

И, ради всего святого, сойди с Red Hat 5.7. Вы работаете в ОС, которая почти годична, а патчи устарели, и нет никаких разумных причин для этого. Политика исправления Red Hat заключается в том, что ни одна версия какого-либо пакета никогда не сталкивается с основной версией ОС; патчи портированы вместо. Весь смысл в том, что вы должны иметь возможность постоянно поддерживать патч RHEL5, не подвергая опасности какую-либо функциональность.

Во многих отношениях нет даже такой вещи, как "Red Hat 5.7"; RHEL 5.7 на самом деле не версия выпуска ОС, это просто линия, проведенная через текущее состояние патча RHEL5 от 3.12.2012. Когда вы говорите "Я использую RHEL 5.7", вы на самом деле говорите: "Я использую RHEL 5, и я на год устарел".

Daniel t. 15 фев '13 в 20:13 2013-02-15 20:13 · Answer 2 · 2013-02-15 20:13

Будет намного легче выяснить причину, если у вас есть auditd Демон правильно настроен для просмотра критических файлов. В дополнение к предложениям, направленным другими, вы можете попытаться найти подсказки в /var/log/audit/audit.log подать и использовать aureport а также ausearch команды.

Например, вы можете запустить ausearch -f passwd перечислить всю информацию аудита, относящуюся к файлу passwd.

В будущем вам может потребоваться следовать правилам безопасности, установленным в CIS Red Hat Enterprise Linux 5 Benchmark о том, как настроить демон аудита для просмотра (-w) определенных файлов. Вот несколько строк, которые нужно добавить в /etc/audit/audit.rules -

Вещи, которые влияют на личность:

   -w /etc/group -p wa -k identity
   -w /etc/passwd -p wa -k identity
   -w /etc/gshadow -p wa -k identity
   -w /etc/shadow -p wa -k identity
   -w /etc/security/opasswd -p wa -k identity

Andrew B 15 фев '13 в 19:37 2013-02-15 19:37 · Answer 3 · 2013-02-15 19:37

@MadHatter предлагает хорошее начало. Кроме того, вот трюк, который я держу в своем инструментальном поясе в такие дни:

find /filesystem1 /filesystem2 -xdev -printf '%T@ %t %p\n' | sort

%T@ Время модификации, секунды эпохи (для сортировки)

%t Время модификации, удобочитаемое человеком

%p Полный путь к файлу

Сезон по вкусу. Запускайте одну монтированную файловую систему за раз или столько, сколько считаете нужным.

То, что это делает, дает вам отсортированный по меткам времени аудит самых последних изменений в файлах. Это может иногда дать вам понимание других вещей, которые происходили во время неизвестного события. Это, конечно, не пуленепробиваемый, и может вообще ничего не раскрывать, но я иногда нахожу это чрезвычайно полезным для определения того, какая работа выполнялась в то время, когда произошло неизвестное событие. (скажем, кто-то выполняет rm -Rf на / lib вместо библиотеки Tomcat...)