Qualcuno ha effettuato l'accesso al mio Centos VM; Possono attaccare il sistema operativo host?

2

Sto usando Windows 7 e ho deciso di imparare l'amministrazione di Linux (Centos 6.4) usando Oracle VirtualBox per ospitare il sistema Linux.

Nella mia configurazione di rete scelgo "Bridged Adapter". Ho impostato l'IP della VM su 192.168.1.104 e il mio host Windows è 192.168.1.100. Dato che non ho molta RAM, ho fatto tutto usando SSH. SSH è stato impostato sul valore predefinito (porta 22, accesso root consentito). Ho anche impostato il mio router DMZ su questa VM per poter utilizzare questa VM da qualsiasi luogo.

Oggi ho controllato i log (/ var / log / messages, / var / log / auth) e ho scoperto che pochi IP hanno provato ad accedere al mio server e alcuni di essi hanno avuto successo. Anche se non ho nulla di importante su questo server, mi chiedo se qualcuno potrebbe arrivare al mio ambiente Windows (l'host) o impostare sth sulla mia rete locale per spiare il mio sistema reale. Non ho alcuna conoscenza in questo campo e vorrei sapere se il mio sistema Windows è in qualche modo in pericolo.

Per ora, ho disabilitato ssh sul mio server.

    
posta bastek 07.01.2014 - 18:33
fonte

2 risposte

2

La risposta breve è "Sì, tutto è possibile".

La risposta lunga è "Forse, ma senza ulteriori informazioni è praticamente impossibile dirlo".

Dovresti considerare che CentOS VM ha compromesso, rimuoverlo dalla tua rete e anche controllare i log su qualsiasi altro sistema che fosse online / connesso nel momento in cui si è verificato l'accesso non autorizzato.

Per prima cosa, ecco qualcosa per iniziare con la sicurezza CentOS: uno dei primi risultati di google per "CentOS hardening":

link

Questa è una slide scorrevole abbastanza decente con esempi di configurazione e spiegazioni.

In secondo luogo, considera l'utilizzo del port forwarding invece di esporre completamente quella macchina al mondo esterno: inoltra solo le porte di cui hai assolutamente bisogno.

In terzo luogo, imposta SSH per utilizzare le chiavi pubbliche / private per l'autenticazione anziché le password:

link

L'utilizzo dell'autenticazione della chiave pubblica / privata con SSH assicura che nessuno sarà in grado di "indovinare" la tua password: avranno bisogno della tua chiave privata.

    
risposta data 07.01.2014 - 18:48
fonte
1

Il buono il brutto e il cattivo. A seconda di quale account hanno effettuato l'accesso, tutto ciò che avrebbero dovuto fare (ad esempio come root) è eseguire un'acquisizione di pacchetti per vedere qualcos'altro sulla rete. Immagina quanto segue per un momento. Sei in una stanza (rete), altre persone si trovano nella stessa stanza (virtualizzazione) e metti un registratore per registrare tutto (sniffer).

È già stato menzionato per trovare la documentazione di hardening, il mio suggerimento è leggermente diverso. Scopri il firewalling;) Poiché il tuo dispositivo Linux ha i suoi firewall, ora è un buon momento per familiarizzare con la creazione di regole. "Blocca qualsiasi cosa da questo indirizzo, al mio indirizzo, su questa porta." Ovviamente, interrompi i servizi che non ti servono e mantieni le password separate. Ad esempio, se la tua password normale è bastek1234 per dire la tua macchina Windows, non ti suggerisco di riutilizzare le password.

Hai esposto la tua macchina al mondo, quindi aspettati che la spazzatura ti colpisca. Ora è anche un buon momento per giocare con cron e linguaggi di scripting. Ad esempio, scrivi il tuo sistema di avviso:

tail -n 1000 / var / log / auth | grep -i failure | mail -s "Tentativi non riusciti" [email protected]

Ci sono molti meccanismi su cui puoi prendere l'iniziativa una volta che hai un'idea di cosa devi fare. Non sempre fare affidamento su guide "hardening" come quelle che cambiano. Ho scritto guide di approfondimento risalenti al 1996 a cui ridacchia ora a quante cose sono cambiate.

Come per uscire da VMWare, c'è Cloudburst;) link

A CURA:

Non è necessario accedere come root in assoluto. Questo è ciò che sudo è per. E se sudo non è abbastanza, puoi schiaffeggiare Duosecurity per consentire SOLO i comandi dopo che ha chiamato il tuo telefono fisso / fisso per confermare che sei chi dici di essere. Per quanto riguarda gli accessi, puoi analizzare i tuoi file. * _ History per vedere cosa è stato fatto a condizione che non cancellino i log

    
risposta data 07.01.2014 - 21:45
fonte

Leggi altre domande sui tag