Saya menggunakan Ubuntu 15.04 dan hari ini saya telah membaca artikel tentang keamanan Linux dari tautan ini .
Semuanya berjalan baik sampai bagian Akun UID 0
Hanya root yang harus memiliki UID 0. Akun lain dengan UID itu seringkali identik dengan backdoor.
Ketika menjalankan perintah yang mereka berikan kepada saya, saya menemukan ada akun root lain. Tepat setelah itu saya menonaktifkan akun seperti yang dilakukan artikel, tetapi saya agak takut pada akun ini, saya dapat menemukannya di/etc/passwd
rootk:x:0:500::/:/bin/false
Dan masuk /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
Saya mencoba menghapus akun ini menggunakan userdel rootk
tetapi mendapat kesalahan ini;
userdel: user rootk is currently used by process 1
Proses 1 adalah systemd. Adakah yang bisa memberi saya saran? Haruskah aku userdel -f
? Apakah akun ini akun root yang normal?
/etc/passwd
& /etc/shadow
; reboot dan semuanya baik-baik saja sekarang, root menjadi satu-satunya yang ditampilkan sebagai pengguna root Terima kasih atas bantuan Anda!
rootk
adalah nama yang terlalu mencurigakan, dan memiliki kata sandi yang non-cacat adalah gejala yang lebih buruk dari dikalahkan oleh kuda trojan. Omong-omong, jangan hapus entri, cukup masukkan beberapa huruf di bidang kata sandi untuk menonaktifkannya, karena akan memberi Anda petunjuk untuk mengetahui bagaimana Anda terinfeksi.
rootk
akun dengan kata sandi yang sah (tidak dinonaktifkan) adalah gejala kuat dari beberapa eksploitasi jaringan atau penyalahgunaan akun root oleh pengguna lokal. Seperti yang biasa kita katakan: "Percaya pada Perawan Suci, dan jangan lari ...". Ngomong-ngomong, apakah Anda pikir saya seorang pria berusia enam belas tahun tanpa pengalaman di unix / linux? :(
/bin/false
file asli dengan menjalankan sudo dpkg -V coreutils
. Jika sudah diubah, harap pertimbangkan untuk menginstal ulang semuanya. Ubuntu 15.04 telah menjadi EOL selama 6 bulan, sehingga setiap lubang keamanan yang ada dan di masa depan tidak akan diperbaiki, jadi Anda mungkin ingin menginstal versi yang lebih baru seperti 16.04.
/etc/passwd
. Saya juga ragu bahwa menghapus akun itu dapat berdampak pada mesin karena file dan proses merujuk pada UID dan bukan nama pengguna. Akan disarankan (walaupun kemungkinan besar tidak diperlukan ) untuk memiliki disk pemulihan berguna tetapi saya akan menghapusnya dan me-restart mesin tanpa khawatir.