URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80434
[ Назад ]

Исходное сообщение
"Передача дел от админа"
Отправлено goodzone , 24-Май-08 21:35

Коллеги, сам уже давно не практиковал администрирование POSIX систем, поэтому возник этот вопрос:
Ситуация такова, есть web-сервер на зарубежной площадке, есть я как веб-девелопер и есть админ, который уходит из проекта.
Задача: перекрыть все доступы этому админу (ssh, ftp, svn) и (вот собственно вопрос) убедиться что он не оставил троянцев или руткитов для саботирования работы сервера. root-доступ у меня есть.
Подскажите плз как выполнить диагностику сервера.

Содержание

Передача дел от админа,chacha, 00:30 , 25-Май-08
- Передача дел от админа,goodzone, 00:51 , 25-Май-08

Сообщения в этом обсуждении

"Передача дел от админа"
Отправлено chacha , 25-Май-08 00:30

>[оверквотинг удален]
>вопрос:
>
>Ситуация такова, есть web-сервер на зарубежной площадке, есть я как веб-девелопер и
>есть админ, который уходит из проекта.
>
>Задача: перекрыть все доступы этому админу (ssh, ftp, svn) и (вот собственно
>вопрос) убедиться что он не оставил троянцев или руткитов для саботирования
>работы сервера. root-доступ у меня есть.
>
>Подскажите плз как выполнить диагностику сервера.
безопасность - штука тонкая, бездонная итп и если админ хотел что-то оставить - оставит бы 100%,
при чём обнаружить это ОЧЕНЬ И ОЧЕНЬ тяжело. Если только тот админ лох и пользовался "стандартными" руткитами - тогда может помочь что-то типа rkhunter, chkrootkit.
чтобы такого не происходило, нужно изначально(это не про ваш случай) заботиться о безопасности, при помощи таких средств как tripwire итп(+бэкапы итд)
не важно виндовс(ни один антивирь не запалил моего виндовс-руткита, а я новичок в программированииЖ))) или юникс, если контроль над системой безопасности был потерян, то сказать что-то наверняка никак нельзя.
доступ можно закрыть юзеру командой pw lock username (в bsd). либо во всех системах, универсально: vipw и поставить * в поле пароль(удалять сам хэш пароля не обязательно, чтобы в случае чего можно было бы тут же восстановить)
если для фтп не используются системные аккаунты(а например своя бд с юзерами), то нужно править там, наверняка с помощью спец программ, входящих в дистр. см. конфиг на свой фтп демон.
с свн не работал, не знаю
мой совет пока оно работает, сделайте бэкап(бд, файлы итд) и если вы этим не занимаетесь - доверьте дело кому-то другому.

"Передача дел от админа"
Отправлено goodzone , 25-Май-08 00:51

Спасибо за ответ. В моем случае имхо проще пересетапить систему с нуля, т.к. проект еще довольно далек от продакшн-версии и пока еще можно все перенастроить. Хотя заниматься этим самому сильно не хочется увы :(
Итого думаю поставить rkhunter, chkrootkit. Отключить доступ к программам стандартными средствами.
>[оверквотинг удален]
>доступ можно закрыть юзеру командой pw lock username (в bsd). либо во
>всех системах, универсально: vipw и поставить * в поле пароль(удалять сам
>хэш пароля не обязательно, чтобы в случае чего можно было бы
>тут же восстановить)
>если для фтп не используются системные аккаунты(а например своя бд с юзерами),
>то нужно править там, наверняка с помощью спец программ, входящих в
>дистр. см. конфиг на свой фтп демон.
>с свн не работал, не знаю
>мой совет пока оно работает, сделайте бэкап(бд, файлы итд) и если вы
>этим не занимаетесь - доверьте дело кому-то другому.