Saya menggunakan Ubuntu 15.04 dan hari ini saya telah membaca artikel tentang keamanan Linux dari tautan ini .
Semuanya berjalan baik sampai bagian Akun UID 0
Hanya root yang harus memiliki UID 0. Akun lain dengan UID itu seringkali identik dengan backdoor.
Ketika menjalankan perintah yang mereka berikan kepada saya, saya menemukan ada akun root lain. Tepat setelah itu saya menonaktifkan akun seperti yang dilakukan artikel, tetapi saya agak takut pada akun ini, saya dapat menemukannya di/etc/passwd
rootk:x:0:500::/:/bin/false
Dan masuk /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
Saya mencoba menghapus akun ini menggunakan userdel rootk
tetapi mendapat kesalahan ini;
userdel: user rootk is currently used by process 1
Proses 1 adalah systemd. Adakah yang bisa memberi saya saran? Haruskah aku userdel -f
? Apakah akun ini akun root yang normal?
/etc/passwd
. Saya juga ragu bahwa menghapus akun itu dapat berdampak pada mesin karena file dan proses merujuk pada UID dan bukan nama pengguna. Akan disarankan (walaupun kemungkinan besar tidak diperlukan ) untuk memiliki disk pemulihan berguna tetapi saya akan menghapusnya dan me-restart mesin tanpa khawatir./etc/passwd
&/etc/shadow
; reboot dan semuanya baik-baik saja sekarang, root menjadi satu-satunya yang ditampilkan sebagai pengguna root Terima kasih atas bantuan Anda!rootk
adalah nama yang terlalu mencurigakan, dan memiliki kata sandi yang non-cacat adalah gejala yang lebih buruk dari dikalahkan oleh kuda trojan. Omong-omong, jangan hapus entri, cukup masukkan beberapa huruf di bidang kata sandi untuk menonaktifkannya, karena akan memberi Anda petunjuk untuk mengetahui bagaimana Anda terinfeksi.rootk
akun dengan kata sandi yang sah (tidak dinonaktifkan) adalah gejala kuat dari beberapa eksploitasi jaringan atau penyalahgunaan akun root oleh pengguna lokal. Seperti yang biasa kita katakan: "Percaya pada Perawan Suci, dan jangan lari ...". Ngomong-ngomong, apakah Anda pikir saya seorang pria berusia enam belas tahun tanpa pengalaman di unix / linux? :(/bin/false
file asli dengan menjalankansudo dpkg -V coreutils
. Jika sudah diubah, harap pertimbangkan untuk menginstal ulang semuanya. Ubuntu 15.04 telah menjadi EOL selama 6 bulan, sehingga setiap lubang keamanan yang ada dan di masa depan tidak akan diperbaiki, jadi Anda mungkin ingin menginstal versi yang lebih baru seperti 16.04.Jawaban:
Proses dan file sebenarnya dimiliki oleh nomor ID pengguna, bukan nama pengguna.
rootk
danroot
memiliki UID yang sama, jadi semua yang dimiliki oleh satu juga dimiliki oleh yang lain. Berdasarkan uraian Anda, sepertinyauserdel
melihat setiap proses root (UID 0) sebagai milikrootk
pengguna.Menurut halaman manual ini ,
userdel
memiliki opsi-f
untuk memaksa penghapusan akun meskipun memiliki proses aktif. Danuserdel
mungkin hanya akan menghapusrootk
entri passwd dan direktori home, tanpa mempengaruhi akun root yang sebenarnya.Agar lebih aman, saya mungkin cenderung mengedit sendiri file kata sandi untuk menghapus entri
rootk
, lalurootk
direktori home hapus tangan . Anda mungkin memiliki perintah pada sistem Anda bernamavipw
, yang memungkinkan Anda mengedit dengan aman/etc/passwd
di editor teks.sumber
rootk
direktori rumahrootk
akun dibuat sebagai pintu belakang. Itu hanya berarti bahwa itu dapat dihapus dengan mudah./
Itu memang terlihat seperti pintu belakang.
Saya akan mempertimbangkan sistem dikompromikan dan mengeluarkannya dari orbit, bahkan jika memungkinkan untuk menghapus pengguna, Anda tidak tahu kejutan apa yang tersisa pada mesin (mis. Keylogger untuk mendapatkan kata sandi pengguna untuk berbagai situs web).
sumber
/etc/shadow
. Menyetel shell ke/bin/false
(jika belum dirusak) dapat menonaktifkan login interaktif, tetapi tidak akan mencegah akun dari digunakan dengan cara lain. Misalnya,sudo -s
akan melihatSHELL
variabel lingkungan, bukan/etc/passwd
, untuk menentukan shell apa yang harus dijalankan./
direktori home sepertinya tidak konsisten dengan itu)?