Lul*_*sec 19 security root ubuntu
我在 Ubuntu 15.04 上,今天我一直在从这个链接阅读一篇关于 Linux 安全的文章。
一切都很顺利,直到 UID 0 帐户的一部分
只有 root 的 UID 应该为 0。具有该 UID 的另一个帐户通常是后门的同义词。
在运行他们给我的命令时,我发现还有另一个 root 帐户。在那之后我像文章一样禁用了该帐户,但我有点害怕这个帐户,我可以在/etc/passwd
rootk:x:0:500::/:/bin/false
而在 /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
我尝试使用删除此帐户userdel rootk但收到此错误;
userdel: user rootk is currently used by process 1
进程1是systemd。任何人都可以给我一些建议吗?我应该userdel -f吗?这个账户是普通的root账户吗?
Rah*_*hul 27
进程和文件实际上属于用户 ID 号,而不是用户名。rootk并且root具有相同的 UID,因此一个拥有的所有内容也由另一个拥有。根据您的描述,听起来好像userdel每个根进程(UID 0)都被视为属于rootk用户。
根据此手册页,即使帐户具有活动进程,userdel也可以选择-f强制删除帐户。并且userdel可能只会删除rootk的 passwd 条目和主目录,而不会影响实际的 root 帐户。
为了更安全,我可能倾向于手动编辑密码文件以删除 的条目rootk,然后手动删除rootk的主目录。您的系统上可能有一个名为 的命令vipw,它可以让您/etc/passwd在文本编辑器中安全地进行编辑。
Sim*_*ter 23
这确实看起来像一个后门。
我会认为系统受到威胁并将其从轨道上摧毁,即使可以删除用户,您也不知道机器上留下了什么有趣的惊喜(例如,键盘记录器可以获取用户各种网站的密码)。
| 归档时间: |
|
| 查看次数: |
5258 次 |
| 最近记录: |