web-dev-qa-db-fra.com

Pourquoi syslog et uml-net ont / home dans / etc / passwd?

Quelqu'un peut-il expliquer pourquoi les utilisateurs syslog et uml-net ont /home dans /etc/passwd, même si ces répertoires dans /home n'existe pas réellement?

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
syslog:x:101:104::/home/syslog:/bin/false
...
uml-net:x:107:111::/home/uml-net:/bin/false
...
usershome-directory
3
CppLearner

Hérité des temps anciens et pour ne pas casser des trucs. Chaque ligne dans /etc/passwd a besoin d'une maison (voir l'ajout ci-dessous). Et /etc/passwd est quelque chose que nous prenons tel quel dans le cadre du système Linux (et non une fonctionnalité spécifique à Debian/Ubuntu).

Autrefois syslog-ng était assez courant et utilisait /home/syslog/ pour y créer un répertoire pour chaque type de source de données.

Avant de passer à systemd à l'aide de rsyslog , stockage des journaux dans /var/log/syslog était plus courant. Et systemd utilise /run/systemd/journal/syslog.

Voir la page de manuel:

/etc/passwd contains one line for each user account, 
with seven fields delimited by colons (“:”). These fields are:

   ·   login name
   ·   optional encrypted password
   ·   numerical user ID
   ·   numerical group ID
   ·   user name or comment field
   ·   user home directory
   ·   optional user command interpreter

Le mot de passe chiffré et l'interpréteur de commandes utilisateur sont explicitement mentionnés comme "facultatifs". Je suppose donc que les autres sont obligatoires.

2
Rinzwind

Dans mon cas, l'utilisateur a peut-être été créé par un script d'extraction de crypto malveillant, le cadeau était le dernier utilisateur ajouté:

...
uml-net:x:114:118::/nonexistent:/bin/false

Le serveur était probablement infecté par ceci: https://security.stackexchange.com/questions/201263/a-process-called-watchbog-is-mining-crypto-currency-in-our-server-how- do-i-st? noredirect = 1 & lq = 1

Il a également laissé une porte dérobée de connexion ssh publickey et divers crochets cron modifiés. Votre meilleur pari est de réinstaller le serveur avec les dernières mises à jour et la piste de révision/etc/pour vous aider à remarquer les différences - ce dernier m'a aidé.

Certains fichiers avaient un groupe d'utilisateurs Debian-exim si probable que ce serveur a été compromis à cause de cela https://www.linuxtechnews.com/cve-2019-10149-debian-has-released-critical-security-update-for-exim/

0
Daniel Sokolowski