Я нахожусь на Ubuntu 15.04 и сегодня я читаю статью о безопасности Linux по этой ссылке.
Все прошло хорошо, пока часть счета UID 0
Только root должен иметь UID 0. Другая учетная запись с этим UID часто является синонимом бэкдора.
При выполнении команды, которую они дали мне, я обнаружил, что есть другая учетная запись root. Просто после этого я отключил аккаунт, как в статье, но я немного боюсь этого аккаунта, я могу найти его на/etc/passwd
rootk:x:0:500::/:/bin/false
И в /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
Я пытался удалить эту учетную запись, используя, userdel rootkно получил эту ошибку;
userdel: user rootk is currently used by process 1
Процесс 1 является системным. Может ли кто-нибудь дать мне совет, пожалуйста? Должен ли я userdel -f? Является ли эта учетная запись нормальной учетной записью root?
/etc/passwd. Я также сомневаюсь, что удаление этой учетной записи может оказать какое-либо влияние на машину, поскольку файлы и процессы ссылаются на UID, а не на имя пользователя. Было бы целесообразно (хотя, скорее всего, и не обязательно ) иметь под рукой диск восстановления, но я бы удалил его и перезагрузил машину без каких-либо забот./etc/passwd&/etc/shadow; перезагрузился и теперь все хорошо, root - единственный, кто отображается как пользователь root. Спасибо за вашу помощь!rootkслишком подозрительное имя, а наличие пароля, не являющегося отключенным, является худшим признаком поражения троянским конем. Кстати, не удаляйте запись, просто вставьте букву в поле пароля, чтобы отключить ее, так как она даст вам подсказки, чтобы узнать, как вы заразились.rootkучетной записи с предполагаемым действительным паролем (не отключен) является сильным симптомом некоторого сетевого эксплойта или неправильного использования корневой учетной записи локальным пользователем. Как мы говорим: «Доверяй Богородице и не беги ...». Кстати, как вы думаете, я шестнадцатилетний парень без опыта работы в Unix / Linux? :(/bin/falseявляется ли подлинный файл запускомsudo dpkg -V coreutils. Если он был изменен, пожалуйста, попробуйте переустановить все. Ubuntu 15.04 была EOL в течение 6 месяцев, поэтому любые существующие и будущие дыры в безопасности не будут исправлены, поэтому вы можете захотеть установить более новую версию, такую как 16.04.Ответы:
Процессы и файлы на самом деле принадлежат номерам пользователей, а не именам пользователей.
rootkиrootимеют одинаковый UID, поэтому все, что принадлежит одному, также принадлежит другому. Судя по вашему описанию, кажется,userdelчто каждый корневой процесс (UID 0) рассматривается как принадлежащийrootkпользователю.Согласно этой странице руководства ,
userdelесть возможность-fпринудительного удаления учетной записи, даже если она имеет активные процессы. Иuserdel, вероятно, просто удалил быrootkзапись passwd и домашний каталог, не затрагивая действительную учетную запись root.Чтобы быть более безопасным, я мог бы склониться вручную отредактировать файл паролей для удаления записи
rootk, а затем вrootkдомашнюю директорию hand-remove . В вашей системе может быть указана командаvipw, которая позволяет безопасно редактировать/etc/passwdтекстовый редактор.источник
rootkдомашнего каталогаrootkучетная запись создана в качестве бэкдора. Это просто означает, что его можно легко удалить./Это действительно похоже на черный ход.
Я бы посчитал систему скомпрометированной и сбросил ее с орбиты, даже если можно удалить пользователя, которого вы не представляете, какие интересные сюрпризы были оставлены на машине (например, кейлоггер для получения паролей пользователей для различных веб-сайтов).
источник
/etc/shadow. Установка оболочки/bin/false(если это не было изменено) может отключить интерактивный вход в систему, но не помешает использованию учетной записи другими способами. Например,sudo -sпосмотрим наSHELLпеременную окружения, а не/etc/passwd, чтобы определить, какую оболочку запустить./качестве домашнего каталога кажется несовместимым с этим)?