J'ai lancé rkhunter
et découvert un avertissement indiquant qu'un nouvel utilisateur appelé _apt
était installé sur mon Ubuntu 16.04.
$ grep _apt /etc/passwd
_apt:x:124:65534::/nonexistent:/bin/false
Tout ce que j’ai découvert, c’est qu’il semble que c’est une sorte d’utilisateur de bac à sable pour les "menaces persistantes avancées". Mais qu'est-ce que c'est exactement?
L'utilisateur _apt
est créé par le script postinst
du package apt
(/var/lib/dpkg/info/apt.postinst
):
# add unprivileged user for the apt methods
adduser --force-badname --system --home /nonexistent \
--no-create-home --quiet _apt || true
Il est le propriétaire de /var/cache/apt/archives/partial
et /var/lib/apt/lists/partial
et est utilisé par APT pour télécharger des packages, une liste de packages, etc.