Bei der Suche /etc/passwd
und /etc/shadow
fand ich viele nicht menschliche Benutzer. Ich lese ein bisschen darüber und weiß, was sie tun (als Gruppe, obwohl ich speziell viele sehe, von denen ich keine Ahnung habe). Alle von ihnen (außer root (gesperrtes pwd) und meinem menschlichen Benutzerkonto) haben niemals Passwörter (*) eingerichtet.
Gibt es irgendwelche Tests oder Dinge, die ich tun kann oder sollte, um sicherzustellen, dass dies keine Lecks sind und wir ihnen vertrauen können?
permissions
users
passwd-file
shadow
Jesper
quelle
quelle
Antworten:
Das Vorhandensein eines Benutzerkontos an sich bedeutet nicht, dass der Benutzer über Berechtigungen verfügt, unabhängig davon, ob es sich um einen "System" -Benutzer oder einen regulären Benutzer handelt. Wenn Sie ein neues Systemkonto erstellen würden, könnte es nichts tun - es hätte die gleichen Berechtigungen wie
nobody
(in der Tat werden die meisten Systemkonten erstellt, um so wenig Berechtigungen wie möglich zu gewähren). Nur jemand mit den entsprechenden Berechtigungen (dh Superuser) kann einem anderen Benutzer Berechtigungen erteilen, indem er den Besitz oder die Berechtigungen im Dateisystem ändert.Die Onwership und Berechtigungen während einer vollständigen Linux-Installation sind so komplex, dass Sie nicht genau beschreiben können, was sie alle in einem einzigen Beitrag sein sollten. Wenn Sie den Verdacht haben, dass Ihr System kompromittiert wurde, müssen Sie Ihre Behandlung genau auf die Situation abstimmen. Wenn Sie keinen Grund haben zu vermuten, dass dies der Fall ist, ist es unpraktisch, alles in Ihrem System zu überprüfen, um sicherzustellen, dass nichts mehr Berechtigungen hat als es sollte.
Ein weiterer Hinweis: Systemkonten haben im Allgemeinen kein Kennwort, da Sie sich nie bei ihnen anmelden müssen. Wenn einem Konto ein Kennwort fehlt
.passwd
, bedeutet dies nicht, dass Sie sich ohne Kennwort anmelden können, sondern dass Sie sich überhaupt nicht bei diesem Konto anmelden können. Das Konto kann nur verwendet werden, wenn ein privilegierter Prozess erscheint oder sich auf die Verwendung dieses Kontos umstellt.quelle
!
oder*
ist eine sichere Sperre, da es nicht speziell behandelt wird: Keine Zeichenfolgen-Hashes für diese Werte, daher ist die Kennwortanmeldung deaktiviert (Hashes haben eine feste Länge, daher gibt es wirklich keine Zeichenfolge mit diesem Hash.)