我们有一个前端节点的集群,允许普通用户和LDAP用户。 前两天ssh显示出一个奇怪的行为:
所以,我认为是位于前端节点的问题。 LDAP似乎工作,使用getent [passwd|shadow]命令我们得到所有用户。
同时,当我们从这个节点login到其他节点时,ssh显示一个警告/错误。 但它也允许ssh:
[root@frontnode ~]# ssh othernode /etc/ssh/ssh_config line 50: Unsupported option "GSSAPIAuthentication" [root@othernode ~]#
另外,当我重新启动ssh守护进程时,我们也有与GSSAPI有关的错误:
[root@frontnode ~]# service sshd restart Stopping sshd: [ OK ] Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication /etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials /etc/ssh/sshd_config line 97: Unsupported option UsePAM [ OK ]
没有人更改sshconfiguration,也没有sshdconfiguration。 直到现在还在工作。 我们不知道问题是什么。
login节点是科学Linux版本6.2(基于红帽)
它看起来像sshd或一些库在前端节点上被改变。
UsePAM选项允许您使用LDAP存储的密码进行login。
/var/log/yum.log是否有软件包的变化。 现在您已经确定存在rootkit,您需要确保每个人都更改密码,并build议他们在其他站点上更改密码。
清理最安全的选项是在开始之前重新安装并从备份中恢复。 你永远无法真正知道一些看起来无害的文件是否被修改过,并且在清理之后会被重新修复。