我使用的是 Ubuntu 15.04,今天我读了一篇关于 Linux 安全性的文章这关联。
一切都很顺利,直到 UID 0 帐户部分
只有 root 才应具有 UID 0。具有该 UID 的另一个帐户通常是后门的同义词。
当运行他们给我的命令时,我发现还有另一个 root 帐户。就在那之后,我像文章中那样禁用了该帐户,但我有点害怕这个帐户,我可以在/etc/passwd
rootk:x:0:500::/:/bin/false
并且在/etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
我尝试使用删除此帐户,userdel rootk但收到此错误;
userdel: user rootk is currently used by process 1
进程1是systemd。有人可以给我一些建议吗?我是不是该userdel -f?这个账户是普通的root账户吗?
答案1
进程和文件实际上由用户 ID 号而非用户名拥有。rootk并且root具有相同的UID,因此一个人拥有的所有东西也归另一个人所有。根据您的描述,听起来好像userdel将每个根进程(UID 0)视为所属rootk用户。
根据这个手册页,userdel可以选择-f强制删除帐户,即使该帐户具有活动进程也是如此。并且userdel可能只是删除 的rootkpasswd 条目和主目录,而不影响实际的 root 帐户。
为了更安全,我可能倾向于手动编辑密码文件以删除 的条目rootk,然后手动删除rootk的主目录。您的系统上可能有一个名为 的命令vipw,它可以让您/etc/passwd在文本编辑器中安全地进行编辑。
答案2
这确实看起来像一个后门。
我认为系统受到了损害,并将其从轨道上发射出去,即使可以删除用户,您也不知道机器上留下了什么有趣的惊喜(例如,用于获取各个网站的用户密码的键盘记录器)。