जब कोई मेरे सर्वर पर रूट के रूप में लॉग इन करे तो क्या करें

मेरे पास एक सर्वर चल रहा है डेबियन 6.0 जो लॉगचेक स्थापित है। कल पहले, मुझे यह संदेश मिला:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

मुझे नहीं पता कि यह कौन है और मुझे संदेह है कि वह दुर्घटना से वहां था।

किया करू अब?

सबसे पहले मैंने ssh पासवर्ड ऑथेंटिकेशन को निष्क्रिय किया और सार्वजनिक / निजी कुंजी पर स्विच किया। मैं अधिकृत_की फ़ाइल भी देखता हूं और केवल मेरी सार्वजनिक कुंजी देखी है

आगे क्या?

मुझे कैसे पता चलेगा कि दूसरे आदमी ने मेरी मशीन पर क्या किया?

मेरा मानना ​​है कि यह एक बग है जो बहुत लंबे समय से लटका हुआ है जो बाद के संस्करणों (6.0p1) में तय किया गया है।

एक मेजबान से खुद को सिस्टम से कनेक्ट करने की कोशिश करके इसे सत्यापित करना काफी आसान होना चाहिए, जो एक अलग कुंजी का उपयोग करके और आपको प्राप्त होने वाले संदेशों को देखने से प्रतिबंधित होगा।

यह ओपनएसएसएच में एक लंबे समय तक चलने वाला बग हो सकता है जो केवल 6.0 पी 1 में तय किया गया था । उस स्थिति में आप इसे सुरक्षित रूप से अनदेखा कर सकते हैं। हालाँकि, यदि आप सुरक्षित रहना चाहते हैं, तो मूल उत्तर (मान लें कि आप इस बग से प्रभावित नहीं हैं):

आपकी ssh निजी कुंजियों से छेड़छाड़ की संभावना है, क्योंकि किसी के पास आपके रूट खाते में प्रवेश करने के लिए वैध निजी कुंजी थी। तथ्य यह है कि किसी ने एक अनुमत आईपी पते से लॉग इन नहीं किया और आपको आगे के समझौते से बचाया। फिर भी, यह एक महत्वपूर्ण समझौता है; यह बताता है कि आपके वर्कस्टेशन (या आमतौर पर आपके द्वारा काम की जाने वाली अन्य मशीन) से समझौता किया गया था।

आपको संभावित रूप से समझौता किए गए प्रत्येक कार्य केंद्र और सर्वर को स्पर्श करना चाहिए। अपने कार्य केंद्र को प्रारूपित करें और पुनर्स्थापित करें। अपनी सभी मौजूदा ssh कुंजियों को निरस्त करें / नष्ट करें और सब कुछ फिर से करें। सभी पासवर्ड बदलें। किसी भी सर्वर को पोंछने और पुन: स्थापित करने के लिए दृढ़ता से विचार करें, जिस पर आपके पास इस कुंजी के साथ लॉग इन करने की पहुंच है।