Dotaz: Zadne dvierka v pripade ziskania roota na serveroch ?

Zdravim, prevadzkujeme zopár serverov/routrov (do 10 kusov) na Linuxe a zaujíma ma ako riešit zadné dvierka v pripade získania roota inou osobou? Okrem odoslania mailu/sms po prihlaseni roota (root samozrejme ma zakazane prihlasenie cez SSH skôr ma strašia lokálne exploity) nič iné nemáme nastavené (prva akcia po ziskani roota asi bude passwd a zmena hesla). Nejaké skúsenosti/návrhy ?

První akce bývá většinou založení nového uživatele s UID 0 nebo spuštění jednoduchého serveru spouštějící poslané příkazy pod rootem (třeba pomocí nc | bash), protože na změnu hesla roota se dost snadno přijde.

Lokální získání roota, pokud útočník nezná jeho heslo, nebude přes PAM a nespustí se login skripty.

tak ten email/sms je na pripad lokalneho bruteforce attacku na heslo roota ...

Routery zpravidla nemaji zadne pro svet viditelne sluzby ani sitovy pristup, takze sance exploitace je defacto nulova. U serveru dost zalezi na provozovanych sluzbach. Btw. pri lokani eskalaci se nikdo nikam neprihlasuje..