私はssh私が使用している特定のコンピューティングシステムに取り組んでいます。関連するLinuxのガイドラインの一部に従おうとしましたが、sudoパスワードを数回入力しましたが、成功せずにSSH端末にパスワードを入力したため、パスワードを誤って入力したことに気づきました。
sudoそれから私の試みはシステムに加えられた脅威について非常に非難的な電子メールを受け取りました。事故だと説明したのに馬声は続いた。
私の具体的な質問は次のとおりです。許可なしにSudoを何度も試すことをシステムセキュリティに対する深刻な違反と見なす脅威モデルは何ですか?
注:理解してください。原則としてなぜこのようなルールがあるのでしょうか?私の考えでは、人々が自動化されたスクリプトを書いてパスワードを復号しようとしたくないでしょう。または、ソーシャルエンジニアリングで取得したパスワードを入力しようとします。しかし、いくつかの愚かなコマンドの推測は失敗しました。脅威モデルは何ですか?
ベストアンサー1
まず、sudo失敗した試みを記録する以外に、自分で電子メールを送信したり警告メッセージを生成したりしません。これらのログを見てイベントを関連付ける人(ほとんどのスクリプトログ監視者を使用)は、今回はrootアクセスを許可せずにrootアクセス権を取得しようとするユーザーIDの1つであることがわかります。したがって、自動化されたプロセスは犯罪者に電子メールを送信します。誰かに返信を送ると思っても、10回のうち9回はあなたの返信が目立たないか、ほとんど確認されていないメールボックスに入ります。
あなたが間違いであり、あなたが正しいサーバーにいないことを明確にした後も、あなたを非難している本当の人からあなたの説明に答えを受けたと思うなら、その人は退屈すぎて探しています。人々を怖がらせるために厳格な命令を出すか、何かが起こります。
sudo私が知っている限り、現在無差別代入試行以外に保護されたサーバーを攻撃する可能性がある他の脅威ベクトルはありません。
さらに検討してください情報セキュリティスタック交換セクション。