有人试图入侵我的root用户。找到系统中的所有用户对我来说很有趣。我不记得我创建过任何用户。黑客可以使用任何其他默认用户进入系统(使用默认的 Linux 系统设置)吗?我无法使用其中任何一个用户登录进行检查,因为我不知道他们的密码。
我运行命令来获取所有用户cat /etc/passwd::
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
tss:x:59:59:Account used for TPM access:/dev/null:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
unbound:x:997:994:Unbound DNS resolver:/etc/unbound:/sbin/nologin
sssd:x:996:993:User for sssd:/:/sbin/nologin
chrony:x:995:992::/var/lib/chrony:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
nginx:x:994:991:Nginx web server:/var/lib/nginx:/sbin/nologin
答案1
是的,非常安全。
所有这些用户都是由您为其安装的软件创建的。这些用户通常带有专门针对该软件的 systemd 服务。
请注意/sbin/nologin某些行末尾的 。这意味着任何人都不能使用该用户登录终端会话。
halt以便shutdown用户可以停止系统。
root!已锁定安装期间设置的密码(其中会有一个/etc/shadow)。如果需要,可以将其删除,但我们通常不会这样做。它与您的管理员用户相关联。
答案2
这些用户不是“登录名”。它们本质上不是某人登录您计算机的方式。相反,将它们视为一组权限。我们以 lp 为例。
服务 lp(打印机服务)需要与系统上的打印机通信的权限,并且需要对保存等待打印内容的文件夹具有写访问权限。这是因为大多数用户需要能够向打印机发送命令。如果打印机服务中存在错误,系统上的用户可能能够劫持它。通过以 lp 身份运行此服务,劫持打印机服务的用户将只能控制打印机,而不是整个机器。这并不好,因为这会让他们监视正在打印的内容,但比起他们接管整个系统,这要好得多。
正如 Rinzwind 的回复中所述,大多数此类用户不允许登录。您只能通过以更高权限的帐户(通常是 root)开始,然后降低权限来成为这些帐户。例如,启动打印机后台处理程序的可能是 root(完全管理员),并选择将打印机后台处理程序降级为 lp 的权限。这不是恶意用户会采取的路线,因为如果恶意用户已经是 root,则没有必要降低他们的权限。
这意味着这些帐户通常会增加安全性。或者更准确地说,如果这些服务都在一个拥有更多权限的帐户下运行,您的系统会更安全。