Zablokovani uctu

[Ondrej Mach]

> Zdravim.
> Mam tu Debiana a potrebuju zablokovat uzivatelske ucty. Ten clovek tam byl
> admin a ja nevim, jestli tam nema nejaka zadni vratka (v podobe dalsich
> kont..) tak potrebuju:
> 1) Vypsat prave prihlasene uzivatele (abych si byl jist, ze tam neni)
> w, who - vidi i roota? Je moznost, ze by se tomuto vypisu skryl?
> 2) Vypsat uzivatele, kteri jsou na tom Linuxu zavedeni
> 3) Zablokovat konto vsem, ktere neznam.
> event. 4) Prohlednout si log, kdy ten ktery uzivatel byl naposledy
> zalogovan.
> Jsem zacatecnik, takze budu potrebovat mirnou pomoc ;-)
> Pomozte mi, prosim.
> Dik moc
> Josef
Takze za prve:
1) zmenit mohl _jakykoliv_ program, aby nedelal to co nechtel, 
tedy napr. neohlasoval neco....
2) pokud si chete byt jisty, ze tam neni nalogovany, zastavte vsechny sitove
sluzby, nebo shodte sitovku, pripadne ji vytahnete ze site :-)
3) jednoduche zpusoby jak se tam mohl na neco dostavat:
	hesla uzivatelu
	heslo roota
	RSA authentifikace
	upravene ssh
	spustene "jeste jedno ssh (nebo i neco jineho) nekde (pod jinym jmenem a tak...)"
	PAM
4) uzivatele jsou v /etc/passwd, ty ktere neznate muzete "zablohovat" napriklad
tim, ze misto posledni polozky na prislusnem radku (typicky /bin/bash, /bin/sh,
/bin/zsh ci tak nejak) date /bin/false. Pozor na nektere systemove uzivatele :-)
5) mista kde by se jeste mohla nachazet zadni vratka:
	crontab (zejmena rooti)
	pristupova prava k nekterym souborum (citelnost hesel pro vsechny a tak)

6) pokud si chcete byt _skutecne_ jisty, mel byste:
	1) dostrihnout se od site
	2) restartovat z nezavisleho (cisteho) zdroje - diskety
	3) projit, co se kdy spousti pri startu, a s jakymy konfiguraky
	3a) a overit si, ze prislusny program nebyl pozmenen
	4) zablokovat (zrusit) podezrele uzivatele
	4a) overit moznosti logovani napr. pres RSA klice na systemove uzivatele 
	5) zjistit, jestli neni suid nejaky program, ktery byt takovy nema,
pripadne, ze nejaky suid program nebyl pozmenen, ci ze ho muze spoustet jen ten
kdo to opravdu potrebuje 
	6) projit co si kdo a s jakymi pravy spousti z crontabu
	7) overit prava "nebezpecnych souboru"
	8) v pripade pochybnosti prislusny balicek odinstalovat a znova
	nainstalovat
	9) urcite exituje neco na co jsem zapomel

Popsat krok za krokem, co se presne ma delat asi nejde.

Uplne nejbezpecnejisi je ten system smazat a znovu nainstalovat :-) (a i pak
muze byt problem napr. v zalohovanych uziv. datech)

					Omyl

P.S. Pokud nemate dobry duvod se domnivat, ze tam zadni vratka byla, melo by
stacit projit a zablokovat uzivatele, overit zpusoby logovani na roota (ci jineho 
uzivatele s uid 0)

------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20020123/229466fd/attachment.sig>