У нас есть кластер с передним узлом, который принимает обычных пользователей и пользователей LDAP. Два дня назад ssh показал странное поведение:
Итак, я думаю, проблема находится в переднем узле. Кажется, что LDAP работает, используя getent [passwd|shadow]
команда мы получаем всех пользователей.
В то же время ssh показывает предупреждение / ошибку при входе с этого узла на другие узлы. Но он все равно разрешает ssh:
[root@frontnode ~]# ssh othernode
/etc/ssh/ssh_config line 50: Unsupported option "GSSAPIAuthentication"
[root@othernode ~]#
Кроме того, когда я перезапускаю демон ssh, у нас также возникают ошибки, связанные с GSSAPI:
[root@frontnode ~]# service sshd restart
Stopping sshd: [ OK ]
Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials
/etc/ssh/sshd_config line 97: Unsupported option UsePAM
[ OK ]
Никто не менял ни конфигурацию ssh, ни конфигурацию sshd. И работал до сих пор. Мы не знаем, в чем проблема.
Узел входа - это версия 6.2 Scientific Linux (на основе RedHat).
Похоже, что sshd или некоторые библиотеки были изменены на переднем узле.
В UsePAM
вариант - это то, что позволит вам войти в систему с сохраненными паролями LDAP.
/var/log/yum.log
для любых изменений пакета.Теперь, когда вы определили наличие руткита, вам необходимо убедиться, что все меняют свои пароли, и порекомендовать им изменить свои пароли и на других сайтах.
Самым безопасным вариантом очистки является переустановка и восстановление из резервной копии до ее начала. Вы никогда не узнаете, был ли изменен какой-то, казалось бы, безобидный файл, и будет ли он заражен повторно после очистки.