İki kök hesap, ne yapmalı?

Ubuntu 15.04'teyim ve bugün bu bağlantıdan Linux güvenliği hakkında bir makale okuyorum .

UID 0 Hesabı kısmına kadar her şey yolunda gitti

Yalnızca kök UID 0'a sahip olmalıdır. Bu UID'ye sahip başka bir hesap genellikle arka kapı ile eşanlamlıdır.

Bana verdikleri komutu çalıştırırken, başka bir root hesabı olduğunu öğrendim. Bundan hemen sonra, makaleyi yaptığı gibi hesabı devre dışı bıraktım, ancak bu hesaptan korkuyorum, onu bulabilirim/etc/passwd

rootk:x:0:500::/:/bin/false

Ve /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Bu hesabı kullanarak silmeye çalıştım userdel rootkama bu hatayı aldım;

userdel: user rootk is currently used by process 1

İşlem 1 sistemd'dir. Birisi bana tavsiyede bulunabilir mi? Yapmalı mıyım userdel -f? Bu hesap normal bir kök hesap mı?

ubuntu security root

— Lulzsec
kaynak

Bu hatanın sadece aynı UID'ye (0) sahip olduğundan şüpheleniyorum. Ben sadece mevcut bir UID ile ikinci bir kullanıcı oluşturarak bir test yaptım ve ilk olarak rapor edildi /etc/passwd. Ayrıca, dosya ve işlemler kullanıcı adına değil UID'ye atıfta bulunduğundan bu hesabın kaldırılmasının makine üzerinde herhangi bir etkisi olabileceğinden şüpheliyim. Bir kurtarma diskinin kullanışlı olması ( büyük olasılıkla gerekli olmamasına rağmen) tavsiye edilir, ancak herhangi bir endişe duymadan onu kaldırıp makineyi yeniden başlatırdım.

— Julie Pelletier

Rootk kaldırıldı /etc/passwd& /etc/shadow; yeniden başlatıldı ve şimdi her şey iyi, root root kullanıcısı olarak gösterilen tek kişi. Yardımınız için teşekkür ederiz!

— Lulzsec

Her iki durumda da, muhtemelen bir virüs bulaşmış olabileceği için bazı kök kiti dedektörü çalıştırmayı deneyin. rootkçok şüpheli bir isimdir ve devre dışı bırakılmış bir parolaya sahip olmak, bir truva atı tarafından mağlup edildiğinin bir belirtisidir. Bu arada, girişi kaldırmayın, sadece devre dışı bırakmak için şifre alanına bir harf ekleyin, çünkü size nasıl bulaştığınızı bilmeniz için ipuçları verecektir.

— Luis Colorado

@DarkHeart, Hayır, korkmuyorum ... ancak rootksözde geçerli bir parolaya (devre dışı değil) sahip bir hesaba sahip olmak, bazı ağ istismarının veya kök hesabın yerel kullanıcı tarafından kötüye kullanılmasının güçlü bir belirtisidir. Dediğimiz gibi: "Kutsal Bakire'ye güven ve kaçma ...". Bu arada, sizce unix / linux'da deneyimi olmayan on altı yaşında bir adamım? :(

— Luis Colorado

/bin/falseOrijinal dosyanın çalışıp çalışmadığını kontrol etmek isteyebilirsiniz sudo dpkg -V coreutils. Değiştirilmişse, lütfen her şeyi yeniden yüklemeyi düşünün. Ubuntu 15.04, 6 aydır EOL olmuştur, bu nedenle mevcut ve gelecekteki güvenlik delikleri düzeltilmeyecektir, bu nedenle 16.04 gibi daha yeni bir sürüm yüklemek isteyebilirsiniz.

— Mark Plotnick

Yanıtlar:

İşlemler ve dosyalar aslında kullanıcı adlarına değil, kullanıcı kimlik numaralarına aittir. rootkve rootaynı UID'ye sahip olduğundan, birine ait her şey diğerine de aittir. Açıklamanıza dayanarak, userdelher kök işlemini (UID 0) ait rootkkullanıcı olarak görmüş gibi görünmektedir .

Buna göre kılavuz sayfasında , userdelbir seçenek vardır -faktif süreçler olsa bile hesabın kaldırılmasını zorlamak için. Ve userdelmuhtemelen rootkgerçek root hesabını etkilemeden 'passwd girişini ve giriş dizinini silebilirsiniz .

Daha güvenli olmak için rootk, girişin kaldırılması için şifre dosyasını elle düzenlemeye , sonra da giriş rootkdizinini elle kaldırmaya meyilli olabilirim . Sisteminizde vipw, /etc/passwdbir metin düzenleyicisinde güvenli bir şekilde düzenleme yapmanızı sağlayan bir komutunuz olabilir .

— Rahul
kaynak

Cevap verdiğiniz için teşekkürler! Rahatladım kralı hissediyorum, bazı badass arka kapı olduğunu düşündüm! Söylediğin gibi, / etc / passwd içindeki rootk girdisini kaldırdım. Ama rootkana dizini yoktu

— Lulzsec

@Lulzsec: Bu, rootkhesabın arka kapı olarak oluşturulup oluşturulmadığını hiçbir şekilde söylemez . Sadece kolayca çıkarılabileceği anlamına gelir.

— Julie Pelletier

Bence problemi tam olarak çözmedin. Sorunuzla ilgili yorumlarımı kontrol edin, lütfen.

— Luis Colorado

Anlaşılan rootk'un ana dizini olduğu için userdel -r komutunu çalıştırmamaya dikkat et/

— Jeff Schaller

@JeffSchaller Ama eğer yaparsanız, sorunu bir şekilde de çözdünüz. Kötü niyetli bir kullanıcı herhangi bir dosya göremedi!

— kirkpatt

Gerçekten arka kapıya benziyor.

Sistemin tehlikeye atıldığını ve yörüngeden çektiğini düşünürüm, kullanıcıyı kaldırmak mümkün olsa bile, makinede hangi ilginç sürprizlerin bırakıldığını bilmiyorsunuz (örneğin, çeşitli web siteleri için kullanıcıların şifrelerini almak için bir keylogger).

— Simon Richter
kaynak

mikrodalga fırına koyun ve yeni bir tane alın.

— Aaron McMillin

Bunu arka kapıya benzeten nedir? Bilinen profiller, rootkit'ler vb. İle eşleşiyor mu?

— Freiheit

@Freiheit Kök izinlerine sahip ek bir kullanıcı, hemen hemen bir rootkit / arka kapı tanımıdır. Birisi bu kullanıcı olarak giriş yaptıktan sonra, sistemdeki her şeyi tehlikeye atabilir. Hesap masum bir amaç için oluşturulmuş olsa bile (bunun ne olacağına dair hiçbir fikrim yok), başka biri onu keşfetmiş ve kötü niyetli olarak kullanmış olabilir (örneğin, Windows root'lu Sony DRM'de okuyun).

— IMSoP

@kasperd: Şifre devre dışı değil, içeride /etc/shadow. Kabuğu /bin/false(kurcalanmadıysa) olarak ayarlamak etkileşimli oturum açmayı devre dışı bırakabilir, ancak hesabın başka şekillerde kullanılmasını engellemez. Örneğin, hangi kabuğun çalıştırılacağını belirlemek için değil , ortam değişkenine sudo -sbakacaktır . SHELL/etc/passwd

— Ben Voigt

@kasperd: Ah, tamam. Gizli bir crontab'dan periyodik olarak kök olarak yürütülen görevleri almanın bir yolu olabilir ( /ana dizin olarak seçim bununla tutarsız görünse de)?

— Ben Voigt