En cherchant dans /etc/passwd
et /etc/shadow
, j'ai trouvé beaucoup d'utilisateurs non humains. J'en ai lu un peu à ce sujet et je sais ce qu'ils font (en tant que groupe, même si j'en vois beaucoup dont je n'ai aucune idée). Tous (à l'exception de la racine (pwd verrouillée) et de mon compte d'utilisateur humain) n'ont jamais établi de mots de passe (*).
Y at-il des tests ou des choses que je peux ou dois faire pour s’assurer que ce ne sont pas des fuites et que nous pouvons leur faire confiance?.
L'existence d'un compte utilisateur en soi ne signifie pas que l'utilisateur dispose de privilèges, qu'il s'agisse d'un utilisateur "système" ou d'un utilisateur ordinaire. Si vous aviez créé un nouveau compte système, il ne pourrait rien faire - il aurait les mêmes privilèges que nobody
(en fait, la plupart des comptes système sont créés dans le but de donner le moins de privilèges possible). . Seule une personne disposant des privilèges requis pour le faire (super-utilisateur) peut octroyer des privilèges à un autre utilisateur, en modifiant la propriété ou les autorisations du système de fichiers.
La durée de vie et les autorisations d'une installation Linux complète sont si complexes que vous ne pouvez pas décrire exactement ce qu'elles devraient toutes figurer dans un seul message. Si vous pensez que votre système a été compromis, vous devrez adapter votre traitement en fonction de la situation. Si vous n'avez aucune raison de penser que tel est le cas, il ne serait pas pratique de tout vérifier dans votre système pour vous assurer que rien ne dispose de plus d'autorisations qu'il ne le devrait.
Autre remarque: les comptes système n'ont généralement pas de mot de passe car vous n'avez jamais besoin de vous y connecter. Lorsqu'un compte ne dispose pas d'un mot de passe dans .passwd
, cela ne signifie pas que vous pouvez vous connecter sans mot de passe, cela signifie que vous ne pouvez pas vous connecter à ce compte. Le compte ne peut être utilisé que lorsqu'un processus privilégié se génère ou se commute pour utiliser ce compte.