forum.lissyara.su

Где-то пол года назад на фрилансе искал исполнителя по настройке физического сервера.
Был выдан root. Вся необходимая работа была выполнена на отлично.

По окончанию я сразу же изменил пароль root.
В ssh закрыл авторизацию по паролю.
С генерировал закрытый и публичный ключ, разрешил авторизацию только по ключу.

Проверил никаких новых пользователей нет, новых открытых портов нет всё вроде бы нормально, рестарт сервера.

Сегодня заходу наблюдаю последний вход не с моего IP

В auth.log
Sep 1 03:37:50 node sshd[27067]: Accepted publickey for root from 95.30.xx.xxx port 7406 ssh2

Первые цифры 95.30. совпадают с ip исполнителя, остальные нет но все это Corbina.

Чё происходит? Я что-то упустил? )

А ключа своего он на сервере не оставил?

Публичный ключ доступен всем, на то он и публичный...

Наверно быстрей всего свой ключ где-то оставил, мог написать и заинклюдить свой скрипт куда-нибудь.

Пока опять сменил все пароли, доступ по SSH открыл только для своего ip.

Надо сносить всё и ставить по новой. Зверёк явно где-то есть. (

Gurd писал(а): С генерировал закрытый и публичный ключ, разрешил авторизацию только по ключу.

Я особо ключами не парился, но разве там не достаточно его публичного ключа в ~/.ssh/ Ну и вообще, sshd отлично поддерживает фильтрацию по пользователю и адресу, если вы сами не с диалапа, то почему бы не запретить всё кроме вашего пользователя и ИП? Ну и повысить уровнь логирования, если при нынешнем не видно откуда был вход.

Отправлено спустя 1 минуту 4 секунды:

Gurd писал(а): Accepted publickey for root

А зачем у вас вообще разрешено root ходить по ssh? Оно даже специально по умолчанию отключено.

Отправлено спустя 2 минуты 20 секунд:
А.. хотя это ж линукс, там по дефолту может быть и не отключено

f_andrey писал(а):Я особо ключами не парился, но разве там не достаточно его публичного ключа в ~/.ssh/

Достаточно только там лежит мой публичный ключ и главного второй половинки у него быть не может. )

Я почему и написать решил сюда, меня это сильно удивило когда я увидел авторизацию по ключу и явно по своему.

что-то вы путаетесь в том как авторизация по ключу работает.
таки да, приватная часть есть только у хозяина ключа.
А вот на серверах, куда с тем приватным ключом можно ходить, лежит только публичная часть.
если у рута в authorized_keys есть лишние публичные ключи, которые вам не знакомы, то их надо-бы почистить.

Отправлено спустя 3 минуты 43 секунды:

f_andrey писал(а):А зачем у вас вообще разрешено root ходить по ssh? Оно даже специально по умолчанию отключено.

А зачем мне ходить на сервера без рута? В чем смысл?
Я понимаю на рабочие машины, где я могу без рута заниматься некоей своей деятельностью. Но на администрируемые мной сервера - без рута мне там делать нечего. А ходить под безправным юзером и выполнять от него всегда одну единственную команду "su - " - некоторый не очень понятный мне гемор. Есть у меня пару серверов, которые не мои, но я за ними присматриваю. Вот там такая ситуация и кроме как желания пристукнуть владельца ничего более такая затея не вызывает. Я там кроме как su от своего юзера ни единой команды не выполнил за 10 лет.

FiL писал(а): Я там кроме как su от своего юзера ни единой команды не выполнил за 10 лет.

дополнительная ступенька беопасности

вот коли у тредстартера было бы так настроено, он бы щас тут не тусовался б

FiL писал(а):если у рута в authorized_keys есть лишние публичные ключи, которые вам не знакомы, то их надо-бы почистить.

Вот, что я и упустил.

Спасибо, я честно говоря не знал, что туда можно пихать несколько ключей. А на первый взгляд и не заметишь.
Вы оказались правы эта гнида добавила туда свой ключ.

Вот так, взял за работу кучу денег и оставил для себя чёрный ход. Наверно, чтобы устраивать мне проблемы, а я ему продолжал платить. Хорошо, что спалился и я заметил.

Будьте бдительны. )

мда.... а вариант что просто забыл - вы не рассматривали?
у меня тоже много где мой ключ валяется.
просто потому что у меня нет привычки его за собой убирать

могу и зайти случайно, по ошибке - в истории выскочит не тот сервер, и зайду.
могу даже сервис какойнить рестартануть...

из жизни, рассказ между прочим...

Alex Keda писал(а): мда.... а вариант что просто забыл - вы не рассматривали?

два чая этому господину!

Alex Keda писал(а):мда.... а вариант что просто забыл - вы не рассматривали?

Не рассматриваю, ему доступ был дан по паролю и свои ключи пихать не нужно, а потом по случайности ещё и логиниться по нему ничего не сказав спустя пол года.

Gurd писал(а): ему доступ был дан по паролю

и что? мне заниматься онанизмом с паролем?
я пока сервер настрою раз 10 его ребутну и с полсотни раз перелогинюсь, бывает - если что-то нестандартное надо.

кидается ключ и всё.
--

а вообще, стоило бы спросить виновника торжества.

Gurd писал(а):

Alex Keda писал(а):мда.... а вариант что просто забыл - вы не рассматривали?

Не рассматриваю, ему доступ был дан по паролю и свои ключи пихать не нужно, а потом по случайности ещё и логиниться по нему ничего не сказав спустя пол года.

Вы случайно ему не заказывали вход по ключу... Я к тому , что если заказывали, то его проверить надо...

Alex Keda писал(а):и что? мне заниматься онанизмом с паролем?

Пароль в клиенте указывается точно так же как и приватный ключ один раз. В PuTTY по-моему это можно сделать даже несколькими способами.

У Вас много в списке клиента серверов, к которым вы не знаете есть доступ туда или нет?

Или, что это за сервер и зачем я храню туда доступ? Вы бы 500 раз натыкались на запись которая не нужна. Почему он молчал? Забыл какой забывчивый, это опять же характеризует его не с лучшей стороны. Все бы так забывали.

Тут хранился доступ, а спалился он случайно так как тыкнул не туда. Так как на сервер зашёл и сразу вышел.

Зачем мой сервер у него хранится в списке? Он разовый исполнитель.

snorlov писал(а):Вы случайно ему не заказывали вход по ключу... Я к тому , что если заказывали, то его проверить надо...

Ничего не заказывал. Мой косяк в том, что я не знал, что в authorized_keys можно указывать хоть сколько ключей, ну вот как-то никогда не задумывался и не было такой ситуации.

Надо было сразу давать доступ по ключу.

Всем спасибо, ведь Вы мне помогли.

Gurd писал(а):

Alex Keda писал(а):и что? мне заниматься онанизмом с паролем?

Пароль в клиенте указывается точно так же как и приватный ключ один раз. В PuTTY по-моему это можно сделать даже несколькими способами.

У Вас много в списке клиента серверов, к которым вы не знаете есть доступ туда или нет?

Или, что это за сервер и зачем я храню туда доступ? Вы бы 500 раз натыкались на запись которая не нужна. Почему он молчал? Забыл какой забывчивый, это опять же характеризует его не с лучшей стороны. Все бы так забывали.

Тут хранился доступ, а спалился он случайно так как тыкнул не туда. Так как на сервер зашёл и сразу вышел.

Зачем мой сервер у него хранится в списке? Он разовый исполнитель.

виндовс головного мозга?

например я - не пользуюсь виндой. ключ у меня хранится в ~/.ssh/id_rsa
список серверов куда я ходил - в истории командной строки.
поиск по которой делается не глазаками, а набрав начало команды и нажав стрелочку вверх.

соответственно пока я не начал набирать и не брякнул стрелочку - мне ничего не мешает и ни на что я не натыкаюсь.
висит там несколько тысяч команд и висит. есть не просит.

Так то оно так.

Только мне удобней работать с винды. Привык знаете ли за многие годы. )))
И род моей деятельности не позволяет мне юзать другое.
Не достающий софт и возится постоянно, что-то настраивать у меня на это нет времени. )

э... лет несколько уже ничё не настраивал...
просто работает