Was ist der Sandbox-Benutzer "_apt" auf meinem System

17

Ich lief rkhunterund fand eine Warnung heraus, dass _aptauf meinem Ubuntu 16.04 ein neuer Benutzer aufgerufen wurde

$ grep _apt /etc/passwd
_apt:x:124:65534::/nonexistent:/bin/false

Alles, was ich herausgefunden habe, ist, dass es sich anscheinend um eine Art Sandbox-Benutzer für "fortgeschrittene persistente Bedrohungen" handelt. Aber was genau ist das?

rubo77
quelle
2
Interessante Frage, dieser Benutzer ist auch auf meinen Rechnern.
Byte Commander
Gleich. Ideen: Möglicherweise im Zusammenhang mit dem neuen Befehl "apt" in 16.04.
Rinzwind
1
es wird hier erwähnt: askubuntu.com/questions/771936/…
Rinzwind
Dass Benutzer keine Berechtigungen für lokal heruntergeladene Pakete haben und daher Fehler
Anwar
Bitte beachten Sie, dass APT zwei Hauptbedeutungen im Zusammenhang mit Computern hat: eine ist die von Ihnen erwähnte "erweiterte persistente Bedrohung" (die Sie definitiv NICHT auf Ihrem PC haben möchten, da sie normalerweise für Remote-Spionage und -Kooperation verwendet wird) und die andere Eines davon ist "Advanced Packaging Tool", was in einem Ubuntu / Debian-Linux-Kontext die "normale" Bedeutung von "apt" ist - das ist der Paketmanager Ihres Systems, dem die _apt-Benutzer gehören (siehe die Antworten zu dem, was dieser Benutzer ist) zum).
Ale

Antworten:

22

Der Benutzer _aptwird durch das postinstSkript des aptPakets ( /var/lib/dpkg/info/apt.postinst) erstellt:

 # add unprivileged user for the apt methods
 adduser --force-badname --system --home /nonexistent  \
     --no-create-home --quiet _apt || true

Es ist der Besitzer /var/cache/apt/archives/partialund /var/lib/apt/lists/partialund von APT zu Download - Pakete, Paketliste verwendet, und andere Dinge.

Florian Diesch
quelle
4
Also im Grunde die gleiche Methode wie bei Apache und anderer Software: Sie haben einen dedizierten Benutzer, der gesperrt ist, um etwas zu tun, das etwas auf die Maschine zieht: user _apt.
Rinzwind
In Ubuntu 16.04.x, _apt:x:105:65534::/nonexistent:/bin/falseerstellt nach nobody, systemdund syslogBenutzer unter UID ~ 100 + Bereich. Sie können immer Benutzer durchsuchen mit less /etc/passwd(um zu suchen, verwenden Sie /dann _apt, um es zu finden, :q
beenden