ktoś włamał się na jeden z moich serwerów za pomocą konta użytkownika Postgres.
czego nie wiem to:
co to jest katalog domowy użytkowników?
gdzie będzie bash_history?
ubuntu
security
ssh
ubuntu-server
postgresql
RadiantHex
źródło
źródło
Odpowiedzi:
grep postgres /etc/passwd
wydrukuje katalog domowy dla konta Postgres.Na przykład bash_history znajduje się w katalogu głównym konta pocztowego postgres
/home/postgres/.bash_history
. Ale jeśli ktoś był wystarczająco wykwalifikowany, by włamać się do twojego serwera, nie oczekuj, że plik historii będzie dokładny, a nawet już obecny.Prawdopodobnie konto użytkownika może przeglądać system plików, ale oczywiście nie można odczytać plików takich jak / etc / shadow, chyba że serwer został zakorzeniony przy użyciu exploita. Mógł również zainstalować niektóre demony nasłuchujące połączeń sieciowych lub na przykład irc-bot, który łączy się z IRC i odbiera stamtąd polecenia.
źródło
getent passwd postgres
jest zazwyczaj lepszy, ponieważ nie tylko wygląda/etc/passwd
ale wszystkie skonfigurowane bazy danych (LDAP, NIS, Winbind)