Я покупаю сервер у человека (которого я не очень хорошо знаю) и хочу убедиться, что предыдущий владелец больше не имеет доступа.
Это виртуальный сервер Ubuntu, и я уже получил доступ администратора (через оболочку).
Как я могу узнать, остались ли еще другие учетные записи, которые все еще могут получить доступ к моему серверу (например, с все еще существующей учетной записью оболочки, ftp или другим типом учетной записи пользователя)? И как их удалить, если эти аккаунты существуют?
С уважением, Дженнифер
Если предыдущий администратор действительно хочет продолжать доступ к вашему серверу, существует слишком много способов сделать это. Если вы им не доверяете, вам следует переустановить сервер с новой операционной системой.
На виртуальном сервере обычно есть какое-то средство для сброса настроек (= установка совершенно нового образа ОС). Если это вообще возможно, сделайте это.
Очень велика вероятность, что у вас новый, только что установленный VPS. Я не могу вспомнить никого в отрасли, кто бы не дал каждому новому клиенту только что установленную систему.
Если ты действительно беспокоясь о человеке, с которым вы имеете дело, вам, вероятно, не стоит иметь с ним дело. Я рекомендую обратиться к любому уважаемому хостинг-провайдеру Xen, вы можете найти отзывы о них на таких сайтах, как Обсуждение веб-хостинга.
Я также рекомендовал бы нанять квалифицированного администратора (или, возможно, поставщик предлагает управляемые услуги), чтобы должным образом защитить и настроить ваш сервер.
На самом деле ... если вы так волнуетесь, то, вероятно, на то есть веская причина. Я бы просто получил его от уважаемого хозяина (например, члена BBB, если применимо).
Как говорит Унбели, нельзя быть уверенным, не выполнив полную очистку. Существует так много способов проникнуть в машину, что невозможно быть полностью уверенным.
Однако есть несколько основных вещей, которые вы можете проверить:
Проверьте, нет ли аккаунтов в /etc/passwd этого не должно быть.
Отзовите все ключи SSH (~/.ssh/authorized_keys), как для учетной записи пользователя, так и для учетной записи root.
Проверьте сценарии запуска на предмет чего-либо злонамеренного
Убедитесь, что сервер не прослушивает порты, которых не должен. Либо используйте netstat -an | grep LISTEN, или просканируйте его с помощью nmap.
Если есть веб-сервер, проверьте наличие резервных сценариев. Поиск чего-либо, содержащего слово «system» или «exec», - это начало.
Проверьте crontab на наличие запланированного.
Если он запускает сервер mySQL, проверьте наличие на нем учетных записей.
Если вы чувствуете себя действительно параноиком, вы можете запускать средства проверки руткитов и тому подобное, но если бы этот парень знал, что он делал, вы никогда не были бы уверены в этом без переустановки.