Я проверял /etc/passwd
, когда заметил пользователя по имени backup1
. Что привлекло мое внимание, так это номер 1 в конце. Это нормально? Как я могу узнать, если этот пользователь скомпрометирован?
Я использую Ubuntu 12.04
спасибо
РЕДАКТИРОВАТЬ:
Это линия /etc/passwd
, соответствующая backup1
:
backup1:x:0:1006::/home/backup1:/bin/sh
И это одна из /etc/shadow
backup1:$6$ETiP/5u7$p7t.GYWhI7ocUrfBxPmSrUW4YFuU.UC0jpBqgycAAf31j91m8FzurWX67dU3NuWhX4fv4sr6WnGJitMD9wgKb1:15761:0:99999:7:::
Но пользователь backup
(без 1
), также есть apassword на /etc/shadow
.
Я не узнаю это имя пользователя, но это не обязательно что-то значит (поскольку это не моя система).
Что такое UID пользователя? Обычно любые идентификаторы от 100 до 999 динамически создаются пакетами, установленными в системе. Вы можете выполнить поиск в сценариях postinst для пакетов, чтобы найти пакеты, которые могли его создать: $ fgrep backup1 /var/lib/dpkg/info/*.postinst
. У пользователя есть пароль в / etc / shadow? Аккаунт заблокирован? Какая оболочка пользователя по умолчанию?
UID 1006 - это «обычная» учетная запись входа, а не системная учетная запись. Кроме того, поскольку пользователь имеет домашний каталог в / home, имеет оболочку входа в систему и пароль, все это указывает на то, что учетная запись была создана кем-то, выполняющим adduser
от имени пользователя root. Аккаунт не заблокирован. У заблокированной учетной записи будет знак "!" перед хэшем пароля. Вы можете заблокировать учетную запись, запустив passwd -l backup1
.
Потенциальными источниками для создания этой учетной записи являются:
Вы также можете использовать команду lastlog
, чтобы увидеть, когда эта учетная запись последний раз входила в систему.