Alguien ha iniciado sesión en mi Centos VM; ¿Pueden atacar el sistema operativo host?

Navega tus respuestas
2

Estoy usando Windows 7 y decidí aprender Administración de Linux (Centos 6.4) usando Oracle VirtualBox para alojar el sistema Linux.

En mi configuración de red elijo "Adaptador puenteado". Configuré el IP de la VM en 192.168.1.104 y mi host de Windows es 192.168.1.100. Como no tengo mucha memoria RAM, hice todo usando SSH. SSH se estableció en el valor predeterminado (puerto 22, inicio de sesión de raíz permitido). También instalé en mi enrutador DMZ a esta máquina virtual para poder usar esta máquina virtual desde cualquier lugar.

Hoy he revisado los registros (/ var / log / messages, / var / log / auth) y encontré que pocas IPs intentaron iniciar sesión en mi servidor y algunas de ellas tuvieron éxito. Aunque no tengo nada importante en este servidor, me pregunto si alguien podría acceder a mi entorno de Windows (el host) o configurar algo en mi red local para espiar mi sistema real. No tengo conocimiento en este campo y me gustaría saber si mi sistema de Windows está de alguna manera en peligro.

Por el momento, he deshabilitado ssh en mi servidor.

    
pregunta bastek 07.01.2014 - 18:33
fuente

2 respuestas

2

La respuesta corta es "Sí, todo es posible".

La respuesta larga es "Tal vez, pero sin más información es prácticamente imposible de decir".

Debe considerar que CentOS VM está comprometido, eliminarlo de su red y también revisar los registros de cualquier otro sistema que estuviera en línea / conectado en el momento en que ocurrió el acceso no autorizado.

Primero, aquí hay algo para comenzar con la seguridad de CentOS: uno de los primeros resultados de Google para el "fortalecimiento de CentOS":

enlace

Este es un slideshare bastante decente con ejemplos y explicaciones de configuración.

En segundo lugar, considere usar el reenvío de puertos en lugar de exponer esa máquina completamente al mundo exterior: reenvíe solo los puertos que absolutamente necesita.

En tercer lugar, configure SSH para que use claves públicas / privadas para la autenticación en lugar de las contraseñas:

enlace

El uso de la autenticación de clave pública / privada con SSH garantiza que nadie podrá simplemente "adivinar" su contraseña: necesitarán su clave privada.

    
respondido por el Panther Modern 07.01.2014 - 18:48
fuente
1

Lo bueno lo malo y lo feo. Dependiendo de la cuenta en la que iniciaron sesión, todo lo que deberían hacer (por ejemplo, como root) es ejecutar una captura de paquetes para ver cualquier otra cosa en la red. Imagina lo siguiente por un momento. Está en una sala (red), otras personas están en la misma sala (virtualización) y coloca una grabadora de tomas para grabar todo (sniffer).

Ya se ha mencionado para encontrar documentación de endurecimiento, mi sugerencia difiere un poco. Aprenda firewalling;) Debido a que su dispositivo Linux tiene sus propios firewalls, ahora es un buen momento para familiarizarse con la creación de reglas. "Bloquee cualquier cosa de esta dirección, a mi dirección, en este puerto". Obviamente, cierre los servicios que no necesita y mantenga las cosas separadas con la contraseña. Por ejemplo, si su contraseña normal es bastek1234 para, por ejemplo, su máquina Windows, no le sugiero que reutilice las contraseñas.

Expusiste tu máquina al mundo, así que espera que la basura te golpee. Ahora también es un buen momento para jugar con cron y lenguajes de scripting. Por ejemplo, escriba su propio sistema de alerta:

cola -n 1000 / var / log / auth | falla grep -i | mail -s "Failed Attempts" [email protected]

Hay muchos mecanismos para tomar la iniciativa una vez que tenga una idea de lo que necesita hacer. No siempre confíe en las guías de "endurecimiento" ya que éstas cambian. He escrito guías sobre el endurecimiento que datan de 1996, y ahora me río por cuánto han cambiado las cosas.

En cuanto a la eliminación de VMWare, está Cloudburst;) enlace

EDITADO:

No es necesario que inicies sesión como root nunca. Para eso está el sudo. Y si el sudo no es suficiente, puede oprimir Duosecurity para SOLO permitir comandos después de que haya llamado a su teléfono móvil / fijo para validar que está quien dices que eres En cuanto a los inicios de sesión, puede analizar sus archivos de historial. * _ Para ver qué se hizo, siempre y cuando no hayan borrado los registros

    
respondido por el munkeyoto 07.01.2014 - 21:45
fuente

Lea otras preguntas en las etiquetas

Identificar el tráfico SSL de la aplicación vs HTTPS ¿Pueden los ISP registrar conexiones IP?