Καλησπέρα σε ολους,
Θέλω την βοήθεια - γνώμη σας σε κάτι. Έχω ένα VPS με Linux Centos. Αν κάποιος έχει τον κωδικό του root μπορεί να συνδεθεί σε αυτό (με SSH) και να κάνει edit τα log files που αφορούν το FTP access? Για παράδειγμα, μπορεί να αλλάξει τις IP που έχουν κάνει login με FTP με κάποιες άλλες τυχαίες? Και αν ναι, πως θα μπορούσε να έκανε κάτι τέτοιο?

Σας ζητάω τέτοιου είδους πληροφορίες γιατί νομίζω πως κάποιος έχει εισβάλει στον server μου και στην συνέχεια άλλαξε τις IPs στα FTP log files μου.

Ευχαριστώ...

Αν δεν κάνω λάθος, το default είναι να μην επιτρέπονται συνδέσεις ως root (PermitRootLogin no). Μπορεί όμως κάποιος να συνδεθεί με λογαριασμό που προορίζεις για τη σύνδεση μέσω SSH και μετά να γίνει root με την εντολή

su -

Το θεωρώ απίθανο να μάντεψε κάποιος το όνομα χρήστη και τον κωδικό για το SSH και τον κωδικό του root. Τα logs του SSH τα κοίταξες;

Αν δεν κάνω λάθος, το default είναι να μην επιτρέπονται συνδέσεις ως root (PermitRootLogin no). Μπορεί όμως κάποιος να συνδεθεί με λογαριασμό που προορίζεις για τη σύνδεση μέσω SSH και μετά να γίνει root με την εντολή

su -

Το θεωρώ απίθανο να μάντεψε κάποιος το όνομα χρήστη και τον κωδικό για το SSH και τον κωδικό του root. Τα logs του SSH τα κοίταξες;

Δεν είπα ότι δεχτηκα επίθεση και κάποιος βρήκε τον root password, αλλά αν κάποιος που έχει ήδη το root password (π.χ: οι συνεργάτες μου) μπορεί να αλλάξει τα log files.

Λογικά, γίνεται.

Γιατί δεν δοκιμάζεις να αλλάξεις το log file που λες και να δεις μόνος σου;

Λογικά, γίνεται.

Όχι λογικά, γίνεται. Τα log files είναι στην ουσία text files και όποιος έχει δικαιώματα root μπορεί να τα αλλάξει με έναν απλό editor όπως ο vi

Όποιος μπορεί να συνδεθεί ως root σε ένα μηχάνημα μπορεί να κάνει ότι θέλει. Το να αλλάξει ή να σβήσει logs είναι εξαιρετικά απλό.
Βέβαια αν έχει πρόσβαση μέσω ssh δεν χρειάζεται ftp για να πάρει/ανεβάσει/αλλάξει αρχεία, το ssh κάνει τη δουλειά μια χαρά.

από την στιγμή που έχει μπει σαν root στο μηχάνημα σου μπορεί να κάνει τα πάντα!

Μία λύση είναι να πας μέσα στο configuration file του ssh και να προσθέσεις τα


PermitRootLogin no
AllowUsers USERNAME
PermitRootLogin no --> για να μην μπορεί να κάνει login ο χρήστης root
AllowUsers USERNAME --> για να κάνει μόνο login ο χρήστης που θα δηλώσεις εσύ.

Πάντως εάν ψάξεις το log file του ssh (σε debian είναι το auth.log) θα βρεις μια εγγραφή που να λέει

session closed for user USERNAME

Αυτή είναι η τελευταία εγγραφή που κάνει όταν ο χρήστης κάνει disconnect, και δεν μπορεί να την σβήσει παρά μόνο την επόμενη φορά που θα κάνει Login.

Αλλά και πάλι άμα θέλει μπορεί να βάλει μια εργασία να τρέξει στο cron που να λέει
> /path_to_log_file/file.log