Controllo utenti con privilegi da server admin (tipo root)

**Salvo** · 20-04-2010, 22:54

Carissimi,
Leggo sempre i vostri interventi per riuscire a carpire il giusto necessario per mantenere server snello integro e sicuro.
Qualche mese fa,ho usufruito dei servizi di una famosa società di server management, ma dopo il primo mese, e dopo aver pagato una somma discreta per l'installazione dei loro software di monitoraggio, mi sono reso conto che pagavo 74/80 dollari al mese solo per avere email di avviso che il server era down..e siccome se il server si blocca lo capisco anch'io..ho rotto la stipula, anche se loro continuano a inviarmi email di sollecito pagamenti ecc...

Vado al punto: ho la legittima paura, che io come amministratore del server non sia l'unico a mettere le mani via ssh al server, ma qualcun altro ogni tanto si diverta. Considerate che le credenziali che ho lasciato sono le mie di amministratore, dall'user alle password.

pertanto cambiando la password dovrei poter risolvere.

Domanda: esistono linee di comando che ti fanno vedere se, oltre l'amministratore ufficiale,ci siano altri con gli stessi privilegi? Dai vari log non ci capisco un granché, ma immagino che ci sia un file in cui queste informazioni vengano immagazzinate.

Potete aiutarmi ad arrivarci?

Vorrei essere sicuro che come (per esempio) 'root' ci sia solo un utente. E se ce ne fossero altri...scoprirlo.

Saluti a tutti.

**2busy** · 21-04-2010, 06:42

Ciao,
1. avere la certezza che il sistema non fosse in mano ad altri se non all'azienda che lo gestiva non era un motivo valido per mantenere il managed?
2. quando dici che il server era down (connettività a parte) come tornava up? Ci mettevi mano tu?

**Valeriano Manassero** · 21-04-2010, 06:55

Stipula un'altro contratto con un altra azienda che ti mantenga il server. Non mi pare tu abbia conoscenze per poterti mettere alla ricerca di rootkit o comunque fare un controllo approfondito.
Già solo il volere il comando per vedere se ci sono più root mi dice che non hai le basi per buttarti in una ricerca di questa entità (e non è una colpa eh, sia chiaro, però era per dire).
Fatti gestire il server da una persona qualificata che sappia farlo.

**WizOfOz** · 21-04-2010, 07:41

Originariamente Scritto da Salvo

...mi sono reso conto che pagavo 74/80 dollari al mese solo per avere email di avviso che il server era down.....

Voglio sperare che facessero anche altri lavori....il problema è che se quei soldi sono spesi bene tu non ti accorgi di nulla....
In ogni caso (come ti hanno già fatto notare) non sei in grado di gestire la macchina quindi pensa (se proprio non ti trovi bene) a passare la gestione a qualcun'altro...

i file da esaminare per verificare chi può accedere al sistema sono /etc/passwd e /etc/group ma bisogna saperli leggere.

/etc/passwd
/etc/group

**Uno** · 21-04-2010, 08:10

Originariamente Scritto da WizOfOz

i file da esaminare per verificare chi può accedere al sistema sono /etc/passwd e /etc/group ma bisogna saperli leggere.

/etc/passwd
/etc/group

Ed è proprio per dirgli qualcosa, perchè si potrebbe anche creare un utente che non passa per group e passwd.

Io mi voglio augurare che chi fa per professione il sistemista una volta terminata la collaborazione proprio cancelli i dati di accesso al server che non segue più, altrimenti non sarebbe un professionista. Comunque a questo punto se c'è un sospetto ci sono due alternative o la reinstallazione completa oppure un bel controllo approfondito che bisogna saper fare.

**Salvo** · 21-04-2010, 13:27

Allora..dire che ho le basi sarebbe troppo. Comunque, fino alla scansione contro rootkit etc ci sono, e l'ho fatta spesso (anche se, almeno con rkhunter sei pieno di falsi positivi). Il server da gennaio ad oggi ha avuto due downtime
1/ per un problema all'hardware, ma mi hanno sostituito la macchina
2/ per un probema alla connessione, ma lavorando spesso su uno dei siti parcheggiati sul server, noto qualsiasi anomalia.

Ho chiesto una volta un upgrade della versione PHP e mi hanno chiesto 60 euro di extrafee (e me lo son fatto da solo), idem per il controllo di un overloading (4.x, 5.x, 3.x quando normalmente i valori di load average erano 0,0x 0,0x, 0,0x) e vedevo che c'era un problema con postfix. Anche lì, per fissare il problema altri 50 euro di extrafee..e me lo son fissato da solo documentandomi. Allora..se serve solo ad avvertirmi alle 5 del mattino che il server è giu' (il che, con gli scongiuri dovuti non succede quasi mai), e che DEVO fare un reboot..permettete che fino a tanto ci arrivo anch'io? Poi riesco ad avere i warning prima da Nagios che mi sono installato che da solo.
Ah, oltre ad installare sul server un software (a cui non potevo avere accesso IO), operazione di 90 dollari una tantum, e se non sbaglio 75/80 dollari per il mensile, GIURO che non facevano perché era tutto escluso e contemplato in extra fees. That's it.

Tornando al problema/sospetto originario:
@WizOfOz: grazie per la delucidazione, infatti ieri dopo una googlata ero arrivato a quei due files. Non mi resta che interpretarli e capire se oltre gli users dei siti ci sono extra accounts che hanno privilegi da 'root'.

Graditi altri consigli in merito.

Salvo

**FlameNetworks** · 21-04-2010, 14:07

Se ti hanno installato un lkm hai voglia a cercare in /etc/passwd ed in /etc/shadow utenti sospetti, non li troverai mai perchè è proprio una peculiarità dei rootkit modulari nascondere stringhe all'interno di file.

Se vuoi avere un sistema di intrusion detection/prevention affidabile studiati Snort.

Ciao,

F.