@Anton1863
Рано утром на сервер под root через ssh проник посторонний человек, буквально минут на 7. Авторизация сработала без переборов, как будто знали пароль. Следов не могу пока найти.
Единственно, появились логи в /var/log/sssd ровно в тот промежуток времени когда заходил посторонний, не подскажет кто, что могли сделать через sssd?
Единственно, появились логи в /var/log/sssd ровно в тот промежуток времени когда заходил посторонний, не подскажет кто, что могли сделать через sssd?
Решения вопроса 0
Ответы на вопрос 2
@vitaly_il1
sssd это один из сервисов который может использоваться в авторизации и аутенфикации.
Не уверен что это поможет понять как зашли. Но загляните и если хотите пришлите нам — это вполне текстовой формат.
Что сделали — можно понять по /etc/passwd и т.п.
Не уверен что это поможет понять как зашли. Но загляните и если хотите пришлите нам — это вполне текстовой формат.
Что сделали — можно понять по /etc/passwd и т.п.
@CityCat4
sssd — сервис, который позволяет выполнять аутентификацию и авторизацию по различным источникам информации (AD, LDAP, etc). Обычно используется для подключения к домену Windows при невозможности/нежелании ставить самбу.
Не уверен, что в логах по умолчанию есть что-то ценное, но конечно же, если хотите можете выложить обезличенную версию
Не уверен, что в логах по умолчанию есть что-то ценное, но конечно же, если хотите можете выложить обезличенную версию