在我的服务器系统升级后,我看到系统向很多组添加了一个名为“Debian”的用户。我检查过它没有设置密码/etc/shadow,所以我认为它是良性的。
但只是为了完整性:
我在哪里可以找到关于某个发行版(让我们从 Debian、Fedora、Ubuntu 开始)上应该存在哪些系统用户以及哪些系统用户更有可能是不需要的来宾的信息?
答案1
我在哪里可以找到关于某个发行版(让我们从 Debian、Fedora、Ubuntu 开始)上应该存在哪些系统用户以及哪些系统用户更有可能是不需要的来宾的信息?
对此没有简单的答案,尤其是跨发行版的答案。与具有相同软件包的相同版本发行版的最小安装进行比较。查看差异。
请注意,如果您从早期版本升级,可能会有额外的系统用户和组不再使用,但仍然存在,因为升级程序无法确定它们是否不再使用。
我看到系统在很多组中添加了一个名为“Debian”的用户
属于多个组的合法用户通常是具有特权的人类帐户。这可以是安装期间创建的初始用户或稍后添加的用户。
Debian 不会创建名为 的用户Debian,我想其他发行版也不会。 Debian 确实创建了被调用来运行系统服务的用户和组,但这些不会位于“很多组”中(我不确定除了默认组之外是否还有其他组)。Debian-something
我检查过,它在 /etc/shadow 中没有设置密码,所以我认为它是良性的。
没有密码/etc/shadow并不会使帐户无法使用。最常见的是,该帐户可能具有 SSH 公钥。检查用户主目录中的 和 以及任何其他.ssh/authorized_keys指令(或您的发行版放置的任何位置)。.ssh/authorized_keys2AuthorizedKeys…/etc/sshd_config/etc/ssh/sshd_config
管理员:组
根据发行版和本地系统管理员首选项,这可能是通过 sudo 授予 root 访问权限的组。检查/etc/sudoers和/etc/sudoers.d/*。
如果你正在寻找隐藏得很严重的后门(有一些可疑的东西/etc/group肯定会被视为隐藏得很严重),你需要检查其他东西,比如侦听网络登录的替代服务、某处的 setuid 程序等。即使你不这样做找不到任何东西,请记住隐藏得很严重的部分可以由有能力的攻击者植入那里,以便在您发现并修复它时给您一种错误的安全感。如果您不确定您的系统是否已被破坏,你需要从轨道上用核武器摧毁它。
但在执行此操作之前,请咨询您的管理员同事,看看这是否只是一个命名错误的手动创建的帐户。
答案2
正如您的问题所示,答案取决于所使用的发行版。然而,在大多数情况下,我不希望任何系统用户成为“很多组”的成员,并且adm(在 Debian 中)应该只包含需要访问系统日志的用户(系统或其他),例如logcheck。
Debian 中的默认组是定义于base-passwd,并且它们都是空的(除了它们是主要组的用户之外)。其他系统组可以通过需要它们的包动态添加,如下Debian 政策中定义的框架;这些团体没有规范的列表。
看必要的用户用来做什么对于系统用户的类似问题。
Debian我觉得你的用户确实很可疑。存在有名字的系统用户开始与Debian-,但我不知道Debian确切命名的系统用户。
答案3
恕我直言,没有任何内容(至少在 debian 的用户指南上没有)列出服务用户/维护用户。
此外,此列表会根据系统上安装的软件包的不同而有所不同:
- OpenLDAP 将添加
slapd用户和组。 - FreeRadius 将添加
freerad用户和组。 - ...
请注意,默认情况下会安装多个用户(但 Debian 除外;p)