J'ai un serveur exécutant Debian 6.0 avec logcheck installé. Hier, j'ai reçu ce message:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
Je ne sais pas qui c'est et je doute qu'il soit là par accident.
Maintenant, que dois-je faire?
La première chose que j'ai faite a été de désactiver l'authentification par mot de passe ssh et de passer à la clé publique / privée. Je vérifie également le fichier authorized_keys et n'ai vu que ma clé publique
Et ensuite?
Comment puis-je savoir ce que l'autre gars a fait sur ma machine?
Réponses:
Je pense que c'est un bug qui traîne depuis trop longtemps et qui est corrigé dans les versions ultérieures (6.0p1).
Il devrait être assez facile de vérifier cela en essayant de vous connecter vous-même au système à partir d'un hôte qui serait restreint, en utilisant une clé différente et en voyant les messages que vous recevez.
la source
Il s'agit peut- être d' un bogue de longue date dans OpenSSH qui n'a été corrigé que dans 6.0p1 . Dans ce cas, vous pouvez l'ignorer en toute sécurité. Cependant, si vous voulez être sûr, la réponse originale (en supposant que vous n'êtes pas affecté par ce bogue) est:
Vos clés privées ssh ont probablement été compromises, car quelqu'un avait une clé privée valide pour se connecter à votre compte root. Le fait que quelqu'un ne se soit pas connecté à partir d'une adresse IP autorisée vous a épargné d'autres compromis. Il s'agit néanmoins d'un compromis important; cela suggère que votre poste de travail (ou une autre machine à partir de laquelle vous travaillez généralement) a été compromis.
Vous devez considérer chaque poste de travail et serveur que vous touchez comme potentiellement compromis. Formatez et réinstallez vos postes de travail. Révoquer / détruire toutes vos clés ssh existantes et tout ressaisir. Modifiez tous les mots de passe. Envisagez sérieusement d'effacer et de réinstaller tous les serveurs sur lesquels vous avez accès pour vous connecter avec cette clé.
la source
from
restrictions dans votreauthorized_keys
comme indiqué dans les liens, alors vous êtes probablement affecté par ce bogue. Mais je me méfierais de la prudence ...