背景:在一些手动构建的硬件主机上,我使用安装程序创建一个名为“ubuntu”且 UID 为 1000 的用户进行初始设置。我们的系统自动化会检查 UID 为 1000 的 ubuntu 用户并禁用登录 shell。
我注意到,随着时间的推移,我们的许多系统都通过其他方式添加了一个名为“ubuntu”的用户。UID 在 2000 范围内,与我们的 LDAP 用户冲突。我想相信禁用这些帐户是安全的,但我不知道他们是怎么到那里的,所以我不知道要测试什么。我假设它们是通过软件包安装程序引入的,但是哪些软件包呢?
有什么好方法可以发现这些用户的来源?
答案1
我首先寻找 Ubuntu 用户拥有的文件:
sudo find / -type f -user ubuntu
这发现了一个主目录。
ls -ld --full-time /home/ubuntu
这显示了一个 ISO 日期戳。我研究/var/log/dpkg.log后发现,日期与“主机创建之初,在许多软件包安装之前”相符。
我们正在运行cloud-init,因此我挖出了我们的云配置并注意到:
users:
- default
每https://cloudinit.readthedocs.io/en/latest/topics/examples.html,“上面的‘默认’用户引用了发行版的配置”,然后说明它将ubuntu与我们的其他本地用户一起创建一个用户。