服務器維護過程當中踩過的坑兒

2. 刪除vim

vim刪除後重裝，致使系統登陸異常：sudo命令失效，顯示/etc/sudoers文件不存在

查看系統中已安裝的vim軟件包

依次查看依賴關係，發現vim-minimal與sudo存在依賴

故刪除vim-minimal時，會連帶刪除sudo，致使系統登陸異常

總結：

調用yum {remove|erase}刪除軟件時，需仔細覈對依賴關係，留意「will be erased」字樣，謹防刪除系統文件

1. 攻擊

問題：root沒法登錄，ssh自動斷開

環境：CentOS7 x86_64

背景：

◇ 對路由器作端口映射，映射「22」號端口，後啓動「DMZ」，直接將家裏的主機暴露於公網

◇「root」用戶密碼爲弱口令「123456」

事件回顧：

① 發現CPU太高

② top命令顯示系統負載高達4，一個名爲「26487」的進程CPU利用率爲200

③ kill命令殺死進程

④ 短期內，ssh鏈接自動斷開

⑤ 重啓系統，root登陸，自動回退到登陸界面

⑥ ssh嘗試鏈接，仍舊失敗

嘗試：

① ssh遠程執行命令「date」「reboot」，結果：無輸出無反應，失敗

② 使用「rongxj」用戶登錄，結果：成功

        查看各配置文件，結果：無權限

        以「sudo cmd」執行命令，結果：'rongxj is not in the sudoers file.'

③ 進入單用戶模式，結果：不少文件在單用戶模式下不可見

起色：

xshell從新登陸「root」，鏈接成功後，Bash提示字符串出現前，反覆快速「Ctrl+C」，結果：簡行模式，登錄成功，完整root權限

排查：

查看~/.bashrc，內容只一行「exit」

至此真相大白

分析：

登錄shell腳本調用順序爲

「/etc/profile」——「.bash_profile」——「.bashrc」——「/etc/bashrc」

「.bash_profile」中以「source」命令運行「.bashrc」，然後由「.bashrc」以「source」命令運行「/etc/bashrc」，臭蟲們將「.bashrc」文件內容改成「exit」，使得腳本調用過程提早結束，故而「root」用戶登陸失敗（自動退出）

調查：

「last」查看登陸信息

上午「10:30」左右，剛把主機暴露於外網，在「弱口令」的條件下，就有兩個陌生的IP登陸進來，「124.68.10.20」（天津）和「195.22.127.83」（波蘭）

「history」中沒有找到有價值的線索

總結：

① 需爲一兩個普通用戶賦予「root」權限，以備不測

② 任何暴露於公網的東西，一是務必使用強密碼，二是儘可能修改衆所周知的默認端口

③ 按期作備份，虛擬機則開啓「自動快照保護」

經驗：

在不肯定bug前，沉住氣，不可按照Google或Baidu出的結果，逐一試錯。縷清關係，按照操做系統執行的流程，逐一排查，找到「根源」後，方可動手