login root incorrect - debian5.0.1

clon¥
(usa Debian)

Enviado em 03/12/2009 - 17:05h

caros colegas,
Até ontem a tarde eu conseguia acessar remotamente, via PUTTY, o servidor tanto interna como externamente.
Pra minha surpresa, sai do meu cliente com tarefas a serem executadas remotamente (de casa) e não consegui mais acessar mais o servidor .

Hoje estive on site no cliente e me deparei com coisas desconhecidas e estranhas:
1- o login root não mais funciona. Quando tento logar em modo texto apresenta a mensagem: login root incorrect,
A senha ainda funciona. Sei disso porque usando um outro usuário para efetuar algumas tarefas ele pede a senha do root.
Ainda acesso com outro usuário de "manutenção".
2- Não tenho certeza, mas pelo que olhei rapidamente, muitas pastas e arquivos do /etc sofreram alterações de permissão (eu acho!),
3- Não acesso o console mais nem localmente e nem via rede através do PUTTY. Consigo acessar com outro usuário com alguns privilégios administrativos.
3- Em consequência da perda de acesso via root, alguns serviços não são executados, como:
crontab
acesso ssh
e outros que ainda não tive o dissabor de descobrir.

-Preciso de ajuda!
-Preciso restaurar o acesso via root,
-Descobrir o que aconteceu (apenas eu e mais um supervisor temos acesso administrativo)
- É possível ter sofrido invasão?
-Na pior das hipóteses, caso o root não seja restaurado, preciso acessar remotamente o servidor VIA SSH com outro usuário (isso é possível? Como?) e executar as tarefas do crontab com outro usuário (isso também é possível, apenas mudando o usuário dentro da programação do crontab?)

Sou aprendiz e preciso de uma boa ajuda, pois, pensem em um servidor cheio de funções!!!

andrezc
(usa Debian)

Enviado em 03/12/2009 - 17:13h

Seguinte,


tenta ir no arquivo sshd_config e adicionar a linha

PermitRootLogin yes


e nos diga se consegue.

clon¥
(usa Debian)

Enviado em 03/12/2009 - 19:45h

Farei essa tentativa amanhã em algum horário.
Posto o resultado.
De qualquer forma, acho que isso resolveria o problema de acesso remoto - o que já seria muito bom, mas, permanecerei na dúvida do que realmente aconteceu.
Valeu por enquanto.

andrezc
(usa Debian)

Enviado em 03/12/2009 - 19:48h

Então...

O que você pode fazer agora é reforçar a segurança, aqui no VOL ta lotado de artigo sobre o assunto, dá uma pesquisada por aqui.


Espero ter ajudado.

clon¥
(usa Debian)

Enviado em 04/12/2009 - 12:17h

Infelizmente chequei aqui e esta opção já estava YES, mas restrito a 03 usuários apenas.
Tem mais alguma sugestão?

Entrei no modo seguro, tentei recadastrar a senha do root para ver se ativava novamente o user root, mas nada. O sistema não aceitou a alteração da senha, continua a mesma.

Em relação aos LOGS, são muito né? Copiei e estou levando como "dever de casa" para analisar com calma.

clon¥
(usa Debian)

Enviado em 10/12/2009 - 19:18h

Resolvi em parte...
Verifiquei que o serviço ssh estava com erro quando tentei restartá-lo, o serviço estava ouvindo, mas estava com erro:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '/etc/ssh/ssh_host_rsa_key' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /etc/ssh/ssh_host_rsa_key
Could not load host key: /etc/ssh/ssh_host_rsa_key
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '/etc/ssh/ssh_host_dsa_key' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /etc/ssh/ssh_host_dsa_key
Could not load host key: /etc/ssh/ssh_host_dsa_key
Restarting OpenBSD Secure Shell server: sshd@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '/etc/ssh/ssh_host_rsa_key' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /etc/ssh/ssh_host_rsa_key
Could not load host key: /etc/ssh/ssh_host_rsa_key
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '/etc/ssh/ssh_host_dsa_key' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /etc/ssh/ssh_host_dsa_key
Could not load host key: /etc/ssh/ssh_host_dsa_key
.
ftpserver:/etc/init.d#

SOLUCAO
cd /etc/ssh
chmod 0700 *

RESULTADO DO MOMENTO:
Consegui acesso novamente através do PUTTY (SSH) e aqui sim - estranhamente - o usuário root funciona, faz update etc.
mas...
localmente, loado no servidor, continua me informando que o root não é válido e o mais preocupante, teve mesmo alteração nas permissões, os arquivos do SSH mesmo, denunciam isso.

Agora, quem as fez?

O cron não está executando!!!

Bom, continuo revisando o S.O e aguardo novas dicas.
Obrigado.