Apa itu pengguna sandbox '_apt' di sistem saya

17

Saya berlari rkhunterdan menemukan peringatan, bahwa ada pengguna baru yang dipanggil _aptdi Ubuntu 16.04 saya

$ grep _apt /etc/passwd
_apt:x:124:65534::/nonexistent:/bin/false

Yang saya temukan adalah, sepertinya ini adalah semacam pengguna kotak pasir untuk "ancaman persisten tingkat lanjut". Tapi apa sebenarnya ini?

apt users rkhunter rubo77
sumber
2
Pertanyaan yang menarik, pengguna itu ada di komputer saya juga.
Byte Commander
Sama. Gagasan: mungkin terkait dengan perintah "apt" yang baru di 16.04.
Rinzwind
1
disebutkan di sini: askubuntu.com/questions/771936/…
Rinzwind
Bahwa pengguna tidak memiliki izin untuk paket yang diunduh secara lokal dan dengan demikian melempar kesalahan
Anwar
Harap dicatat bahwa APT memiliki dua arti utama yang terkait dengan komputer ... satu adalah "ancaman persisten tingkat lanjut" yang Anda sebutkan (yang pasti tidak Anda inginkan pada PC Anda karena mereka biasanya digunakan untuk memata-matai jarak jauh), dan yang lainnya satu adalah "Advanced Packaging Tool", yang merupakan arti "normal" dari "apt" dalam konteks Ubuntu / Debian Linux - itulah manajer paket sistem Anda, yang memiliki pengguna _apt (lihat jawaban untuk apa pengguna itu adalah untuk).
Ale

Jawaban:

23

Pengguna _aptdibuat oleh postinstskrip aptpaket ( /var/lib/dpkg/info/apt.postinst):

 # add unprivileged user for the apt methods
 adduser --force-badname --system --home /nonexistent  \
     --no-create-home --quiet _apt || true

Ini adalah pemilik /var/cache/apt/archives/partialdan /var/lib/apt/lists/partialdan digunakan oleh APT untuk mengunduh paket, daftar paket, dan hal-hal lain.

Florian Diesch
sumber
4
Jadi pada dasarnya metode yang sama seperti yang terlihat dengan apache dan perangkat lunak lain: Anda memiliki pengguna yang dikunci untuk melakukan sesuatu yang menarik sesuatu ke mesin: user _apt.
Rinzwind
Di Ubuntu 16.04.x, _apt:x:105:65534::/nonexistent:/bin/falsedibuat setelahnya nobody, systemddan syslogpengguna di bawah kisaran UID ~ 100+ . Anda selalu dapat menelusuri pengguna dengan less /etc/passwd(untuk mencari gunakan /kemudian ketik _aptuntuk menemukannya, :qkeluar, seperti vim)
dhaupin