Пользователь называется backup1 & hellip; для чего это? как узнать, если это не скомпрометировано?
Я проверял /etc/passwd, когда заметил пользователя по имени backup1. Что привлекло мое внимание, так это номер 1 в конце. Это нормально? Как я могу узнать, если этот пользователь скомпрометирован?
Я использую Ubuntu 12.04
спасибо
РЕДАКТИРОВАТЬ:
Это линия /etc/passwd, соответствующая backup1:
backup1:x:0:1006::/home/backup1:/bin/sh
И это одна из /etc/shadow
backup1:$6$ETiP/5u7$p7t.GYWhI7ocUrfBxPmSrUW4YFuU.UC0jpBqgycAAf31j91m8FzurWX67dU3NuWhX4fv4sr6WnGJitMD9wgKb1:15761:0:99999:7:::
Но пользователь backup (без 1 ), также есть apassword на /etc/shadow.
1 ответ
Я не узнаю это имя пользователя, но это не обязательно что-то значит (поскольку это не моя система).
Что такое UID пользователя? Обычно любые идентификаторы от 100 до 999 динамически создаются пакетами, установленными в системе. Вы можете выполнить поиск в сценариях postinst для пакетов, чтобы найти пакеты, которые могли его создать: $ fgrep backup1 /var/lib/dpkg/info/*.postinst. У пользователя есть пароль в / etc / shadow? Аккаунт заблокирован? Какая оболочка пользователя по умолчанию?
Дополнительная информация:
UID 1006 - это «обычная» учетная запись входа, а не системная учетная запись. Кроме того, поскольку пользователь имеет домашний каталог в / home, имеет оболочку входа в систему и пароль, все это указывает на то, что учетная запись была создана кем-то, выполняющим adduser от имени пользователя root. Аккаунт не заблокирован. У заблокированной учетной записи будет знак "!" перед хэшем пароля. Вы можете заблокировать учетную запись, запустив passwd -l backup1.
Потенциальными источниками для создания этой учетной записи являются:
- другие системные администраторы
- сторонние установщики программного обеспечения или пакеты, не входящие в официальные репозитории Ubuntu
Вы также можете использовать команду lastlog , чтобы увидеть, когда эта учетная запись последний раз входила в систему.