/etc/group adm: group 中應該有哪些使用者
在我的伺服器系統升級後,我看到系統向很多組添加了一個名為“Debian”的使用者。我檢查了它沒有設置密碼
/etc/shadow,所以我認為它是良性的。但只是為了完整起見:
我在哪裡可以找到有關在某個發行版(讓我們從 Debian、Fedora、Ubuntu 開始)上應該存在哪些系統使用者以及哪些更可能是一些不受歡迎的來賓的資訊?
我在哪裡可以找到有關某個發行版(讓我們從 Debian、Fedora、Ubuntu 開始)上應該存在哪些系統使用者以及哪些更可能是一些不受歡迎的來賓的資訊?
對此沒有簡單的答案,尤其是交叉分佈的答案。與具有相同軟體包的相同版本發行版的最小安裝進行比較。查看差異。
請注意,如果您從早期版本升級,可能會有額外的系統使用者和組不再使用,但仍然存在,因為升級者無法確定它們不再被使用。
我看到系統在很多組中添加了一個名為“Debian”的使用者
許多組中的合法使用者通常是具有特權的人類帳戶。這可能是安裝期間創建的初始使用者,也可能是稍後添加的使用者。
Debian 不會創建名為 的使用者
Debian,我想其他發行版也不會。Debian 確實創建了呼叫來執行系統服務的使用者和組,但它們不會在“很多組”中(我不確定除了預設組之外是否有任何組)。Debian-*something*我檢查了一下,它沒有在 /etc/shadow 中設置密碼,所以我認為它是良性的。
沒有密碼
/etc/shadow不會使帳戶無法使用。最常見的是,該帳戶可能有一個 SSH 公鑰。檢查使用者的主目錄.ssh/authorized_keys以及.ssh/authorized_keys2任何其他AuthorizedKeys…指令/etc/sshd_config(或/etc/ssh/sshd_config您的發行版放置的任何地方)。管理員:組
根據發行版和本地系統管理員的偏好,這可能是一個通過 sudo 獲得 root 訪問權限的組。檢查
/etc/sudoers和/etc/sudoers.d/*。如果您正在尋找一個隱藏嚴重的後門(有一些可疑的東西
/etc/group肯定算作嚴重隱藏),您需要檢查其他內容,例如偵聽網路登錄的替代服務、某個地方的 setuid 程序等。即使您沒有找不到任何東西,請記住,嚴重隱藏的部分可能會被有能力的攻擊者植入那裡,以便在您找到並修復它時給您一種虛假的安全感。如果您不確定您的系統是否已被破壞,您需要從軌道上對其進行核攻擊。但在您這樣做之前,請與您的管理員同事確認這是否只是一個名稱錯誤的手動創建帳戶。