Назад | Перейти на главную страницу

Странное изменение в поведении ssh + LDAP

У нас есть кластер с передним узлом, который принимает обычных пользователей и пользователей LDAP. Два дня назад ssh показал странное поведение:

Итак, я думаю, проблема находится в переднем узле. Кажется, что LDAP работает, используя getent [passwd|shadow] команда мы получаем всех пользователей.

В то же время ssh показывает предупреждение / ошибку при входе с этого узла на другие узлы. Но он все равно разрешает ssh:

[root@frontnode ~]# ssh othernode
/etc/ssh/ssh_config line 50: Unsupported option "GSSAPIAuthentication"
[root@othernode ~]#

Кроме того, когда я перезапускаю демон ssh, у нас также возникают ошибки, связанные с GSSAPI:

[root@frontnode ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials
/etc/ssh/sshd_config line 97: Unsupported option UsePAM
                                                           [  OK  ]

Никто не менял ни конфигурацию ssh, ни конфигурацию sshd. И работал до сих пор. Мы не знаем, в чем проблема.

Узел входа - это версия 6.2 Scientific Linux (на основе RedHat).

Похоже, что sshd или некоторые библиотеки были изменены на переднем узле.

В UsePAMвариант - это то, что позволит вам войти в систему с сохраненными паролями LDAP.

Действия по устранению неполадок

  1. Вы должны проверить свой /var/log/yum.log для любых изменений пакета.
  2. У вас работает система управления конфигурацией? Убедитесь, что никто не вставил новый двоичный файл sshd.
  3. Проверьте наличие руткитов с помощью chrootkit или rkhunter.

Очистка

Теперь, когда вы определили наличие руткита, вам необходимо убедиться, что все меняют свои пароли, и порекомендовать им изменить свои пароли и на других сайтах.

Самым безопасным вариантом очистки является переустановка и восстановление из резервной копии до ее начала. Вы никогда не узнаете, был ли изменен какой-то, казалось бы, безобидный файл, и будет ли он заражен повторно после очистки.