读取authorized_keys以外的公钥

Question

服务器是否能够读取除默认authorized_keys之外的公钥？我有一个基于linux的服务器，由多个管理员管理。其中一人已经从公司辞职了。我想他可能增加了后门通道之类的东西。只是为了确定这是否可能。谢谢。

Answer 1

虽然在某种程度上你必须信任他人，但如果你不信任这个人，你可以启动一个安全事件应对计划。按照关于如何处理受威胁的服务器？的规范问题中的建议，采取全面的方法

从sshd手册中注意，AuthorizedKeysFile指令可以为auth更改用户公钥的文件。仅仅看一看这一点在受影响的主机上是不够的，因为它们可以轻松地运行不同的隐藏sshd或其他恶意软件。

Answer 2

首先，如果一个人是知识渊博和肆无忌惮的，并且已经完全进入一台机器，你不能完全保证机器不被破坏。

也就是说，如果你只想检查与你的问题相关的几件简单的事情：

1. 检查sshd (可能是/etc/ssh/sshd_config)，看看它是否包含AuthorizedKeysFile的多个值。
2. 如果您仍然拥有用户的原始~/.ssh/authorized_keys，则grep使用相同键值的其他主目录来确认它们没有简单地将其密钥附加到另一个用户帐户的密钥中，并对服务器进行管理访问。
3. 运行visudo，并检查/etc/passwd以搜索意外的特权和用户帐户。