为什么 syslog 和 uml-net 在 /etc/passwd 中有 /home？

从旧时代继承而来，不会破坏任何东西。每一行都/etc/passwd需要一个归宿（见下面的补充）。这/etc/passwd是我们作为 Linux 系统的一部分（而不是 Debian/Ubuntu 特有的功能）所接受的。

古时候系统日志工具非常常见，并且用于/home/syslog/为每种数据源类型创建一个目录。

在切换到systemd使用之前rsyslog/var/log/syslog，将日志存储在systemd用途/run/systemd/journal/syslog。

---

参见手册页：

/etc/passwd contains one line for each user account, 
with seven fields delimited by colons (“:”). These fields are:

   ·   login name
   ·   optional encrypted password
   ·   numerical user ID
   ·   numerical group ID
   ·   user name or comment field
   ·   user home directory
   ·   optional user command interpreter

加密密码和用户命令解释器明确地被提及为“可选”。所以我认为其他的是强制性的。

在我的案例中，该用户可能是由恶意加密挖掘脚本创建的，泄露的是它是最后添加的用户：

...
uml-net:x:114:118::/nonexistent:/bin/false

该服务器可能已感染：https://security.stackexchange.com/questions/201263/a-process-called-watchbog-is-mining-crypto-currency-in-our-server-how-do-i-st?noredirect=1&lq=1

它还留下了 ssh 公钥登录后门和各种经过修改的 cron 钩子。最好的办法是重新安装带有最新更新的服务器，并使用修订跟踪 /etc/ 来帮助您注意到差异 - 后者对我有帮助。

有些文件有用户组Debian-exim因此该服务器很可能因此受到损害https://www.linuxtechnews.com/cve-2019-10149-debian-has-released-critical-security-update-for-exim/