Un pequeño servidor que exploro para ver cómo instalar el filtrado de IPs a través de failt2ban me reserva una sorpresa.
El archivo de rechazos de exim4 muestra múltiples intentos de entrada al sistema empleando nombres de usuario. Nada extraño salvo por el detalle de que está empleando cuentas que existen de verdad. Cuentas que sólo están en el directorio LDAP y alias locales que no son más que simples redirecciones. ¿ Perdón ?
¿ Cómo ha obtenido la lista ? Mezcla además algunos nombres comunes en sistemas UNIX (que no existen aquí) pero la lista de cuentas es real, algunas de ellas sin uso desde hace años. ¿ Y los alias ?
Ni idea, sólo se me ocurre que haya habido una intrusión en el sistema y eso ya es bastante preocupante.
Lo malo es que tengo varios servidores más del mismo tipo, funciones y tamaño y verificarlos todos no es posible ahora mismo. Supongo que tendré que espabilar y ponerme con Ansible o alguna herramienta similar para dotar a estas máquinas de un mismo perfil de disposiciones de seguridad. Porque uno a uno no me da la vida.