Korzystam z Ubuntu 15.04 i dziś czytam artykuł o bezpieczeństwie Linuksa z tego linku.
Wszystko szło dobrze, dopóki część konta UID 0
Tylko root powinien mieć UID 0. Inne konto z tym UID jest często synonimem backdoora.
Podczas wykonywania polecenia, które mi dali, dowiedziałem się, że istnieje inne konto root. Zaraz potem wyłączyłem konto jak w artykule, ale boję się tego konta, mogę go znaleźć/etc/passwd
rootk:x:0:500::/:/bin/false
I w /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
Próbowałem usunąć to konto, userdel rootk
ale dostałem ten błąd;
userdel: user rootk is currently used by process 1
Proces 1 jest usystematyzowany. Czy ktoś mógłby mi udzielić porady? Miałbym userdel -f
? Czy to konto jest normalnym kontem głównym?
/etc/passwd
. Wątpię również, aby usunięcie tego konta mogło mieć jakikolwiek wpływ na maszynę, ponieważ pliki i procesy odnoszą się do UID, a nie nazwy użytkownika. Wskazane byłoby (choć najprawdopodobniej nie jest to wymagane ) mieć pod ręką dysk odzyskiwania, ale usunę go i uruchomię ponownie komputer bez obaw./etc/passwd
&/etc/shadow
; zrestartowałem się i wszystko jest teraz w porządku, root jest jedyną osobą pokazaną jako użytkownik root Dziękujemy za pomoc!rootk
jest zbyt podejrzaną nazwą, a posiadanie nieprzerwanego hasła jest gorszym objawem porażki konia trojańskiego. Nawiasem mówiąc, nie usuwaj wpisu, po prostu wstaw literę w polu hasła, aby ją wyłączyć, ponieważ da ci wskazówki, jak się zarazić.rootk
konta z domniemanym prawidłowym hasłem (nie wyłączone) jest silnym objawem pewnego wykorzystania sieci lub niewłaściwego użycia konta root przez lokalnego użytkownika. Jak mawiamy: „Ufaj Świętej Dziewicy i nie biegnij ...”. Nawiasem mówiąc, czy myślisz, że jestem szesnastoletnim facetem bez doświadczenia w unix / linux? :(/bin/false
oryginalny plik jest uruchomionysudo dpkg -V coreutils
. Jeśli zostało to zmienione, rozważ ponowną instalację wszystkiego. Ubuntu 15.04 jest EOL od 6 miesięcy, więc wszelkie istniejące i przyszłe luki w zabezpieczeniach nie zostaną naprawione, więc możesz chcieć zainstalować nowszą wersję, taką jak 16.04.Odpowiedzi:
Procesy i pliki są w rzeczywistości własnością numerów identyfikacyjnych użytkowników, a nie nazw użytkowników.
rootk
iroot
mają ten sam identyfikator UID, więc wszystko, co należy do jednego, jest również własnością drugiego. Na podstawie Twojego opisu wygląda na to, żeuserdel
widziałem każdy proces root (UID 0) jako należącyrootk
użytkownik.Według tej strony człowieka ,
userdel
ma opcję-f
, aby wymusić usunięcie konta, nawet jeśli ma aktywne procesy. Iuserdel
prawdopodobnie po prostu usunęrootk
wpis passwd i katalog domowy, bez wpływu na faktyczne konto root.Dla bezpieczeństwa mogę skłonić się do ręcznej edycji pliku haseł w celu usunięcia wpisu
rootk
, a następnie do ręcznego usunięciarootk
katalogu domowego. Możesz mieć w systemie komendę o nazwievipw
, która pozwala bezpiecznie edytować/etc/passwd
w edytorze tekstu.źródło
rootk
katalogu domowegorootk
konto zostało utworzone jako backdoor. Oznacza to po prostu, że można go łatwo usunąć./
To rzeczywiście wygląda jak backdoor.
Uważam, że system jest przejęty i nuke go z orbity, nawet jeśli możliwe jest usunięcie użytkownika, nie masz pojęcia, jakie ciekawe niespodzianki pozostały na komputerze (np. Keylogger, aby uzyskać hasła użytkowników do różnych stron internetowych).
źródło
/etc/shadow
. Ustawienie powłoki na/bin/false
(jeśli nie zostało to zmienione) może wyłączyć interaktywne logowanie, ale nie uniemożliwi korzystania z konta w inny sposób. Na przykład,sudo -s
spojrzy naSHELL
zmienną środowiskową, a nie/etc/passwd
w celu ustalenia, którą powłokę uruchomić./
katalogu domowego wydaje się być z tym niezgodny)?