那些遇到过的问题

为什么 konsole 读取 /etc/passwd?

Mou*_*Dog 8 security users konsole

关于这个问题:

在观察fatrace的行为时,我注意到了一些让我担心的事情。这是命令“fatrace|grep konsole”的前几行输出

konsole(4112): O /etc/passwd
konsole(4112): CO /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
konsole(4112): C /etc/passwd
konsole(4112): O /etc/passwd
...
Run Code Online (Sandbox Code Playgroud)

问题是 lsof|grep passwd 表明 passwd 没有被任何进程打开。

那么知道发生了什么吗?

小智 9

你可以阅读源代码;说到……我是为你做的;它看起来像是来自ProcessInfo.cpp文件。它正在获取用户名。这不仅/etc/passwd不是你关心的问题,任何人都可以阅读。但是,如果它试图读取 ,您可能会担心/etc/shadow

  • 我认为更大的问题是:为什么 lsof 不注册它?为什么 konsole 不只读取 /etc/paswd 一次?另外为什么 konsole 需要用户名列表? (2认同)

slm*_*slm 8

使用strace你可以看到什么konsole

$ strace -s 2000 -o konsole.log
...
...
open("/etc/passwd", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=2655, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f316d8fc000
read(3, "root:x:0:0:root:/root:/bin/bash\nbin:x:1:1:bin:/bin:/sbin/nologin\ndaemon:x:2:2:daemon:/sbin:/sbin/nologin\nadm:x:3:4:adm:/var/adm:/sbin/nologin\nlp:x:4:7:lp:/var/spool/lpd:/sbin/nologin\nsync:x:5:0:sync:/sbin:/bin/sy
nc\nshutdown:x:6:0:shutdown:/sbin:/sbin/shutdown\nhalt:x:7:0:halt:/sbin:/sbin/halt\nmail:x:8:12:mail:/var/spool/mail:/sbin/nologin\noperator:x:11:0:operator:/root:/sbin/nologin\ngames:x:12:100:games:/usr/games:/sbin/nologin\nf
tp:x:14:50:FTP User:/var/ftp:/sbin/nologin\nnobody:x:99:99:Nobody:/:/sbin/nologin\ndbus:x:81:81:System message bus:/:/sbin/nologin\nsystemd-journal-gateway:x:191:191:Journal Gateway:/var/log/journal:/usr/sbin/nologin\npolkitd:
x:999:999:User for polkitd:/:/sbin/nologin\nusbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin\ncolord:x:998:997:User for colord:/var/lib/colord:/sbin/nologin\nrpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin\nqemu:x:107:
107:qemu user:/:/sbin/nologin\nrtkit:x:172:172:RealtimeKit:/proc:/sbin/nologin\ntss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin\nradvd:x:75:75:radvd user:/:/sbin/nologin\nabr
t:x:173:173::/etc/abrt:/sbin/nologin\nopenvpn:x:997:996:OpenVPN:/etc/openvpn:/sbin/nologin\nunbound:x:996:995:Unbound DNS resolver:/etc/unbound:/sbin/nologin\nsaslauth:x:995:76:\"Saslauthd user\":/run/saslauthd:/sbin/nologin\n
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin\navahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin\nrpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin\nnfsnobody
:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin\nnm-openconnect:x:994:994:NetworkManager user for OpenConnect:/:/sbin/nologin\nmailnull:x:47:47::/var/spool/mqueue:/sbin/nologin\nsmmsp:x:51:51::/var/spool/mqueue:/s
bin/nologin\nsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin\ntcpdump:x:72:72::/:/sbin/nologin\npulse:x:993:993:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin\ngdm:x:42:42::/var/lib/gdm:/sbin/nologin\
ngnome-initial-"..., 4096) = 2655
close(3)                                = 0
...
Run Code Online (Sandbox Code Playgroud)

Konsole 正在/etc/passwd相当快地阅读in的内容,而您只是没有看到lsof. 这是打开、快速读取然后关闭文件时的典型问题。

我应该担心吗?

顺便说一下,这无关紧要。我的gnome-terminal也做同样的事情。事情的流程可能有点混乱,但 Konsole 正在查询系统以获取一条信息。在这种情况下,类似于用户的主目录。

于是系统调用NSS(Name Service Switch配置文件):

open("/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = 3
Run Code Online (Sandbox Code Playgroud)

这个文件中有一行,特别是这一行:

passwd:     files
Run Code Online (Sandbox Code Playgroud)

该行告诉 NSS 可以找到“数据库”'passwd' 的位置。这一行告诉 NSS 资源位于文件中。因此,系统随后会打开该/etc/passwd文件以查找用户的主目录。

注意:进一步挖掘这种行为似乎是由 Bash 引起的。执行一个straceof just Bash 显示了同样的事情。

$ strace -s 2000 -o bash.log bash
Run Code Online (Sandbox Code Playgroud)

进一步阅读

如果您真的对 NSS 的工作方式感兴趣,请查阅手册页nsswitch.confnss. NSS 是模块化的,可以为其“数据库”使用不同的后端技术。

例如:

       /etc/nsswitch.conf       NSS configuration file.
       /lib/libnss_compat.so.X  implements "compat" source.
       /lib/libnss_db.so.X      implements "db" source.
       /lib/libnss_dns.so.X     implements "dns" source.
       /lib/libnss_files.so.X   implements "files" source.
       /lib/libnss_hesiod.so.X  implements "hesiod" source.
       /lib/libnss_nis.so.X     implements "nis" source.
       /lib/libnss_nisplus.so.X implements "nisplus" source.
Run Code Online (Sandbox Code Playgroud)

msw*_*msw 7

出于同样的原因ls -l读取 /etc/passwd,它是将 UID 与名称相关联的数据。当ls调用stat(2)文件时,它会获得文件所有者的数字 UID。为了将其显示为人类可读的名称,它需要在唯一具有这些关联的地方查找它,/etc/passwd. 例如,典型的第一行/etc/passwd

root:x:0:0:root:/root:/bin/bash
Run Code Online (Sandbox Code Playgroud)

何时ls -l /etc/hosts需要产生输出

-rw-r--r-- 1 root root 222 Jan 14  2013 /etc/hosts
Run Code Online (Sandbox Code Playgroud)

它需要将 UID 0 转换为“root”,因此它调用像getpwuid这样的库例程,它读取/etc/passwd以提供翻译。这是存在的很大一部分原因/etc/passwd:为完全平凡的目的提供此类翻译。

查找用户名不会比调用localtime带来更多安全问题,这样ls可以告诉您“2013 年 1 月 14 日”文件的修改时间。正如slm 所指出的,没有理由让文件保持打开状态,因此一旦读取其内容,它就会关闭。

该文件/etc/passwd最初确实包含更简单的哈希密码。密码哈希被移到/etc/shadow普通用户无法读取的地方,因为它是一个安全漏洞。名称/etc/passwd保持不变,但现在包含x在以前的密码哈希字段中,该字段不是任何密码的有效哈希。

归档时间:

查看次数:

1299 次

最近记录:

11 年,5 月 前
相关归档
如何在linux中通过id查找用户名? 99
为什么重启和关机需要root权限? 67
Linux 上默认组和用户背后的原因 15
CentOS 无法从组中删除用户 8
在 ssh 会话中使终端文本颜色不同 5
有人可以通过插入闪存盘来执行恶意软件吗? 4
如何创建安全委托 telnet 的 SSH 登录 3
列出 alpine 中已安装的证书 3
验证 /etc/passwd 每行的字段数是否正确? 2
为什么在 ssh 客户端中使用 -i 选项指定私钥? 1
难疑归档
在 Linux 中运行 find 时如何跳过“权限被拒绝”错误? 191
复制特定文件类型保持文件夹结构 166
仅列出当前目录中的常规文件(但不列出目录) 150
是否有一种工具可以获取一个文件中不在另一个文件中的行? 128
&& 和 || 的混淆使用 运营商 119
mount:错误的 fs 类型、错误的选项、错误的超级块 118
我怎么知道我运行的是哪个版本的 Debian? 107
有没有办法用 bash 读取数组的最后一个元素? 98
“是”命令的意义是什么? 92
ls -F 显示的符号是什么意思? 84