我最近安装了操作系统安全评估中心(2.8.1),在安装过程中我注意到它创建了一些额外的用户帐户。但是当我在设置中查看这些用户帐户时,System Settings > User Accounts我注意到 OSSEC 创建的所有帐户都被禁用了,我应该启用它们吗?如果不启用,如果它们被禁用了,它们会做什么,拥有它们的目的是什么?
它创建的新用户帐户的名称如下(它们都是标准用户帐户):
ossecrossecmossec
操作系统信息:
Description: Ubuntu 14.10
Release: 14.10
答案1
这些用户是为 OSSEC 创建的用户,您不应更改它们。它们被禁用是因为您不需要看到它们,也不需要使用它们。非常简单:此软件锁定这些用户,因此普通用户无法干扰它们。如果有人知道您的管理员密码并获得访问权限,您就会陷入困境,而普通用户无法更改这些用户的设置。因此,OSSEC 想要执行的检查的完整性可以得到保证。
这生成文件有很多设置,包括您提到的用户和几个组。默认为:
User settings:
OSSEC_GROUP: ossec
OSSEC_USER: ossec
OSSEC_USER_MAIL: ossecm
OSSEC_USER_REM: ossecr
如果你看看守护进程它解释了部分用户:
ossec-agentd
ossec-agentd 是与服务器通信的客户端守护进程。它以 ossec 身份运行,默认情况下 chrooted 到 /var/ossec。
- 这里的重点是“chrooted”:为了防止有人干扰 ossec 用户并能够规避 OSSEC 想要执行的检查,默认情况下它是禁用的。
同样适用于 ossecm:
ossec-maild
ossec-maild 守护进程通过电子邮件发送 OSSEC 警报。ossec-maild 由 ossec-control 启动。ossec-maild 的配置在 ossec.conf 中处理。(请参阅 ossec.conf:全局选项)
- 用于邮件检查的默认用户是 ossecm。
同样适用于 ossecr:
ossec-远程
ossec-remoted 是与代理通信的服务器端守护进程。它可以监听端口 1514/udp(用于 OSSEC 通信)和/或 514(用于 syslog)。它以 ossecr 身份运行,默认情况下 chrooted 到 /var/ossec。ossec-remoted 在 ossec.conf 的部分中配置。(请参阅 ossec.conf:远程选项)
总体而言:我会使用扫描 root kit 和入侵检测的软件。这些软件应该尽可能地保证安全性。