Может кто-то объяснять, почему пользовательский системный журнал и uml-сеть имеют /home
в /etc/passwd
, даже при том, что эти каталоги в /home
на самом деле не существовать?
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
syslog:x:101:104::/home/syslog:/bin/false
...
uml-net:x:107:111::/home/uml-net:/bin/false
...
Наследованный от прежних времен и не повредить материал. Каждая строка в /etc/passwd
потребности дом (см. дополнение ниже). И /etc/passwd
что-то, что мы берем, как как часть системы Linux (и не определенная функция Debian/Ubuntu).
В былые времена системный-журнал-ng был довольно распространен, и это использовало /home/syslog/
для создания каталога там для каждого типа источника данных.
Перед переключателем к systemd
использование rsyslog, хранение входит в систему /var/log/syslog
, было более распространено. И использование systemd /run/systemd/journal/syslog
.
См. страницу справочника:
/etc/passwd contains one line for each user account,
with seven fields delimited by colons (“:”). These fields are:
· login name
· optional encrypted password
· numerical user ID
· numerical group ID
· user name or comment field
· user home directory
· optional user command interpreter
зашифрованный пароль и пользовательский интерпретатор команд явно упоминаются как "дополнительные". Таким образом, я предположил бы, что другие обязательны.
В моем случае пользователь был возможно создан злонамеренным crypto добывающий сценарий, отдавание было им, был последний пользователь, добавил:
...
uml-net:x:114:118::/nonexistent:/bin/false
Сервер был, вероятно, заражен этим: https://security.stackexchange.com/questions/201263/a-process-called-watchbog-is-mining-crypto-currency-in-our-server-how-do-i-st? noredirect=1&lq=1
Это также оставило ssh бэкдор входа в систему с открытым ключом и различные измененные рычаги крона. Ваш лучший выбор состоит в том, чтобы переустановить сервер с последними обновлениями, и пересмотр отслеживает/etc/, чтобы помочь Вам заметить различия - последний помог мне.
Некоторые файлы имели группу пользователей Debian-exim
таким образом, вероятно, этот сервер был поставлен под угрозу из-за этого https://www.linuxtechnews.com/cve-2019-10149-debian-has-released-critical-security-update-for-exim/