我知道文件中存在用户列表/etc/passwd,但还有其他文件存储了用户名吗?
文件系统匿名化是预期目的。
答案1
可以提供用户凭证的服务列表位于 nsswitch.conf 中:
grep passwd /etc/nsswitch.conf
例如
passwd: files systemd sss
这些服务对应于:
files:/etc/passwdsss:sssd 守护进程从 Active Directory、LDAP、IPA、Kerberos 以及其他可能的位置获取凭据systemd:/etc/userdb/ 中的数据库驱动凭证,而不是传统的平面文件
或许还有其他服务。
对于匿名化而非凭证,您需要检查上述凭证,然后检查整个系统以查找任何 uid >=1000(或旧系统上的 500 或非常旧的系统上的 100)的用户拥有的文件。这应该可以捕获大多数用户数据目录,但特别是检查/home和诸如此类的东西/var/mail,但实际上一般来说/var/spool/cron都是。/var/spool/
此外,您需要检查 /var 中是否存在缓存的凭据。
您可能需要仔细清除 /var/log 中可能包含用户活动日志的日志文件。
答案2
除/etc/passwd您/var/lib/AccountsService/users/和@UnKNOWn 已经提到的之外,用户名还存储在以下(但不限于)文件中:
/etc/shadow
/etc/gshadow
/etc/gshadow-
/etc/group
/etc/group-
/etc/subgid