1 votos

Revocar clolaborator ex ' acceso s a ubuntu server

Tengo un servidor ubuntu con django sitio web llamado hello ejecución. Esta es la forma en que he creado de acceso de usuario aquí:

mkdir /hosting/hello
groupadd --system hosting
useradd --system --gid hosting --shell /bin/bash --home-dir /hosting/hello hello
passwd hello
chown -R hello /hosting/hello
chmod -R u+w /hosting/hello
* all project is stored under /hosting/hello directory

Hay django de instancia y postgresql de la base de datos se ejecutan en este servidor.

Así, hello es normal que un usuario que no es administrador, sin ningún tipo de permisos adicionales (espero que sea configurado correctamente... ¿o no?)

Nadie más que yo sabe la contraseña de root. Varios desarrolladores están trabajando en este proyecto y todos saben la contraseña para el usuario hello. Ahora, un desarrollador (vamos a llamarlo Bob) renunció a su trabajo. Debo asegurarme de que él no podía tener acceso a este servidor (modo paranoico). Así que hice esto pasos:

  • cambió la contraseña para el usuario hello
  • cambiar la contraseña de la base de datos postgresql
  • eliminado de Bob clave pública ssh del servidor

Es suficiente para estar seguro de que Bob no pueden servidor de acceso de ahora? No quiero volver a instalar todo, pero me preocupa si Bob podría dejar algunas puertas traseras antes de dejar de fumar. No había razones para que lo haga, pero a mi modo paranoico es)

2voto

Jorge Valentini Puntos 31

para un usuario que no ha realizado ninguna malicioso pasos antes de salir creo que su enfoque es correcto.

Sin embargo, si usted está preocupado acerca de las posibles puertas traseras, yo recomendaría:

  • Si usted no necesita la navegación de internet en el servidor, cortarla en el firewall. Si lo hace, trate de ser selectivos en los puertos y destinos a los que el servidor está permitido.
  • supervisar las conexiones de red usando netstat generalmente diferentes interruptores de darle diferentes piezas de información, uso -p para ver el identificador de proceso, -ant ver todas las conexiones tcp.
  • Si usted encuentra un proceso de generación de extrañas conexiones, usted puede seguir los archivos que se utiliza con lsof
  • Compruebe en el crontab para ver si alguna de las tareas programadas son la apertura de conexiones. Leer /etc/crontab y compruebe crontab -e a partir de que el usuario tenía acceso, y la root.

Este debe ser el camino para coger realmente simple backdoors, sin embargo, si usted está hablando acerca de los rootkit, va a ser más probable es imposible decir... si realmente sospechoso que el chico hizo algo, yo eliminaría el servidor y mover la instancia de Django para una nueva instalación.

Espero que ayude!

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: