Nicht menschlichen Benutzern vertrauen

7

Bei der Suche /etc/passwdund /etc/shadowfand ich viele nicht menschliche Benutzer. Ich lese ein bisschen darüber und weiß, was sie tun (als Gruppe, obwohl ich speziell viele sehe, von denen ich keine Ahnung habe). Alle von ihnen (außer root (gesperrtes pwd) und meinem menschlichen Benutzerkonto) haben niemals Passwörter (*) eingerichtet.

Gibt es irgendwelche Tests oder Dinge, die ich tun kann oder sollte, um sicherzustellen, dass dies keine Lecks sind und wir ihnen vertrauen können?

permissions  users  passwd-file  shadow 
Jesper
quelle
Mögliches Duplikat von Wie überprüfe ich, welches Paket einen Benutzer erstellt hat? (für den Teil "Lecks")
Muru

Antworten:

7

Das Vorhandensein eines Benutzerkontos an sich bedeutet nicht, dass der Benutzer über Berechtigungen verfügt, unabhängig davon, ob es sich um einen "System" -Benutzer oder einen regulären Benutzer handelt. Wenn Sie ein neues Systemkonto erstellen würden, könnte es nichts tun - es hätte die gleichen Berechtigungen wie nobody(in der Tat werden die meisten Systemkonten erstellt, um so wenig Berechtigungen wie möglich zu gewähren). Nur jemand mit den entsprechenden Berechtigungen (dh Superuser) kann einem anderen Benutzer Berechtigungen erteilen, indem er den Besitz oder die Berechtigungen im Dateisystem ändert.

Die Onwership und Berechtigungen während einer vollständigen Linux-Installation sind so komplex, dass Sie nicht genau beschreiben können, was sie alle in einem einzigen Beitrag sein sollten. Wenn Sie den Verdacht haben, dass Ihr System kompromittiert wurde, müssen Sie Ihre Behandlung genau auf die Situation abstimmen. Wenn Sie keinen Grund haben zu vermuten, dass dies der Fall ist, ist es unpraktisch, alles in Ihrem System zu überprüfen, um sicherzustellen, dass nichts mehr Berechtigungen hat als es sollte.

Ein weiterer Hinweis: Systemkonten haben im Allgemeinen kein Kennwort, da Sie sich nie bei ihnen anmelden müssen. Wenn einem Konto ein Kennwort fehlt .passwd, bedeutet dies nicht, dass Sie sich ohne Kennwort anmelden können, sondern dass Sie sich überhaupt nicht bei diesem Konto anmelden können. Das Konto kann nur verwendet werden, wenn ein privilegierter Prozess erscheint oder sich auf die Verwendung dieses Kontos umstellt.

thomasrutter
quelle
Ich würde hinzufügen, dass es meines Wissens einen Unterschied zwischen einem leeren Passwortfeld und einer ungültigen Zeichenfolge gibt.
can-ned_food
1
Das Verhalten eines leeren Feldes ist meines Erachtens nicht angegeben, aber einige Software interpretiert es möglicherweise so, dass kein Kennwort erforderlich ist, während die meisten es als Hash interpretieren, der keinem Kennwort entspricht. Es ist am besten, '!' oder '*', um das Konto explizit gegen die Anmeldung mit einem Passwort zu sperren.
Thomasrutter
@thomasrutter, werden meine Daten möglicherweise nicht mehr aktuell sein, sondern ein leeres Passwort - Feld verwendet keine password-- so eine ganz andere Sache , von einem gesperrten Konto bedeuten, offensichtlich. A !oder *ist eine sichere Sperre, da es nicht speziell behandelt wird: Keine Zeichenfolgen-Hashes für diese Werte, daher ist die Kennwortanmeldung deaktiviert (Hashes haben eine feste Länge, daher gibt es wirklich keine Zeichenfolge mit diesem Hash.)
alexis
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.