[debian-users:23954] セキュリティーについて

[ikari <ikari@xxxxxxxxx>]

いつもお世話になっております碇です。
先日qmailでお世話になりました。
現状sendmailからの移行はまだ済んでいないのですが、
大体構築できまして少しばかりの問題をクリアすればいい
というところまできました。
(他の仕事を抱えてしまい大変時間がかかってしまっています^^)

これとは別件なのですが、私どもの会社のホストが1台怪しいかなと
思っています。
つい先日まで設定ミスでUDPがDMZの領域に全開になっていました。
また、DNSをsolaris2.6の上でbind4.9を使っていました。
その後bindの設定ファイルの上に#hoge#というなぞのファイルが
出来ていました。その後設定を変え、named以外に対してUDPを
すべてREJECTするようにしました。
solaris上のbindもバージョンアップ(bind8.2.2pl5)しましたが、
debianホストにも同様なファイルが出ていました。
このマシンもDNSが動いています。
また、auth.logに
Sep 12 06:25:02 foo su[17654]: + ??? root-nobody
の記述があり、なぜ夜中にrootからnobodyにsuしようと
しているのかわかりません。また???にはたぶんコンソール
が入ると、解釈しているのですが???になっているのが
なぜかわかりません。
よろしかったらお教え願えないでしょうか？

またこのマシンは、今日にも入れ替えるつもりなのですが、
クラックの疑いがある場合何をすればいいのでしょうか？

私の会社のアドバイザに尋ねたり、調べてやった事。
1) wtmpを調べる。これはlastコマンドでみました。
2) netstat -a で何がLISTENになっているか調べる。
  なぜかportmapが動いていました。
  但しこのマシンに対して外からportmapにアクセスできません。
3) tripwireで各ファイルのMD5値を見る。(使い方が分かりません)
4) /var/lib/dpkg/statusとstatus-oldをdiffで差分を見る。
  これは問題ありませんでした。
5) 課金システムをセットアップしてそのアカウントが何をしているのか
    の記録を残すようにします。
   これは何をすればいいのでしょうか？
   	

その他チェックする事はあるのでしょうか？
今後を考えましてtripwireを入れて、cronで夜中に実行メールで
私宛てに送るような事もしたいのですが、参考になるサイトを
ご承知無いでしょうか？
メールサーバーでsuまたはlogin出来るユーザーを限定したいのですが、
何を調べれば良いのでしょうか？
以上なにか気になった事がありましたらお願いします。
-- 
**************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
**************************************