Как обезопасить linux-сервер после работы с ним третьих лиц (пароли, ключи и др.)?

Question

[prohardware]

Данные доступа (root-пароль) от сервера передавались нескольким linux-админам. Хотелось бы понять, как полноценно изменить доступы к серверу, помимо смены root-пароля.
Знаю про ssh-ключи (в /etc/ssh (CentOS)), но хочу выяснить, каким образом я могу их изменить на новые, что бы старые (если их скопировали) перестали работать?

[решение с ключами от icCE] Сами ключи на сервере находятся в /etc/ssh pub публичные и key закрытые. Надо удалить все ключи в /etc/ssh и перегенерировать их.
rm -rf /etc/ssh/ssh_host_* и перезапустить ssh:
/sbin/service sshd restart

Answer 1

[Vladimir Zhurkin]

Как я уже написал, вам надо перегенерировать ключи ssh. Сменить пароли.
Посмотреть lastlog кто и когда совершал вход в систему и подозрительные вещи проверить.
Проверить не добавлено ли в системы странных репозитореев, после этого проверить пакеты системы.
Често говоря как это делается в yum я не помню. Сильно рекомендуется установить систему против руткитов. На habre были несколько статей на эту тему, вот одна из них habrahabr.ru/post/112789/.

P.S. Да , неплохо проверить cron, иногда некоторые админы оставляют не очень хорошие действие.
Например удалить что-либо через пора месяцев.

Comments

[prohardware]

Как правильно перегенерировать? Нагуглил несколько способов, но сомневаюсь, что они полноценно меняют все кличи. Например, у меня в /etc/ssh есть следующие файлы ключей:
ssh_host_dsa_key
ssh_host_dsa_key.pub
ssh_host_ecdsa_key
ssh_host_ecdsa_key.pub
ssh_host_key < --- без типа?
ssh_host_key.pub < --- без типа?
ssh_host_rsa_key
ssh_host_rsa_key.pub

Как менять dsa/rsa написано много, а как быть на счет ecdsa и тех 2-х, которые без типа?

[Vladimir Zhurkin]

Я же ответил в другом коментарии. /sbin/service sshd restart . По идеи скрипт в centos должен сново сгенерировать ключи. Если нет то вот вам команды
ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
прова должны быть 600
Ключи в /etc/ssh сделайте резервную копию и удалите.
ECDSA - это один из алгоритмов, как и dsa и rsa.
https://ru.wikipedia.org/wiki/ECDSA

Что у вас за пустые файлы я не знаю, посмотри их содержимое. Как вариант, если машина старая это могли остаться старые ключи после upgrade.

[Vladimir Zhurkin]

Да , еще желательно посмотреть какие порты на машине открыты netstat -anp . Новые ключи система должна сгенерировать после удаление.

[Vladimir Zhurkin]

ssh_host_dsa_key — The DSA private key used by the sshd daemon.

ssh_host_dsa_key.pub — The DSA public key used by the sshd daemon.

ssh_host_key — The RSA private key used by the sshd daemon for version 1 of the SSH protocol.

ssh_host_key.pub — The RSA public key used by the sshd daemon for version 1 of the SSH protocol.

ssh_host_rsa_key — The RSA private key used by the sshd daemon for version 2 of the SSH protocol.

ssh_host_rsa_key.pub — The RSA public key used by the sshd for version 2 of the SSH protocol.

[prohardware]

спасибо! все увидел, теперь проверю порты...

Answer 2

[Назар Мокринский]

Ключи лежат в ~/.ssh/authorized_keys, но кроме этого могут быть созданы другие пользователи с правами администраторами, и сохранены бэкдоры при необходимости, так что тут уже зависит от уровня паранойи.

Comments

[Vladimir Zhurkin]

Не совсем верно. У вас там лежат слепки ключей. Сами ключи на сервере находятся в /etc/ssh pub публичные и key закрытые. Надо удалить все ключи в /etc/ssh и перегенерировать их. rm -rf /etc/ssh/ssh_host_* и перезапустить ssh. /sbin/service sshd restart . Вроде бы для centos этого достаточно. Можно вспомнить как digitalocean с этим вопрос опростоволосилась https://missingm.co/2013/07/identical-droplets-in-...

Вообще имейте привычку всегда перегенерировать ключи на новых машинах, особенно виртуалных.

[Vladimir Zhurkin]

Да немного проясню про ключи, конечно у вас в ~/.ssh лежат ключи, но не закрытые ключи от вашего сервера. В частности в authorized_keys у вас содержит публичные ключи.