Usuário chamado backup1… para que serve? como saber se não está comprometido?

2

Estava verificando meu /etc/passwd quando notei um usuário chamado backup1 . O que mais me chamou a atenção é o número 1 no final. Está bem? Como posso saber se esse usuário está comprometido?

Estou usando o Ubuntu 12.04

obrigado

EDITAR:

Esta é a linha /etc/passwd correspondente a backup1 :

backup1:x:0:1006::/home/backup1:/bin/sh

E este é o de /etc/shadow

backup1:$ETiP/5u7$p7t.GYWhI7ocUrfBxPmSrUW4YFuU.UC0jpBqgycAAf31j91m8FzurWX67dU3NuWhX4fv4sr6WnGJitMD9wgKb1:15761:0:99999:7:::

Mas o usuário backup (sem o 1 ) também tem uma senha em /etc/shadow .

    
por Throoze 20.03.2013 / 03:25

1 resposta

3

Eu não reconheço esse nome de usuário de improviso, mas isso não significa necessariamente nada (já que não é o meu sistema).

Qual é o uid do usuário? Normalmente, qualquer uid entre 100 e 999 é criado dinamicamente por pacotes instalados no sistema. Você pode pesquisar por meio de scripts postinst de pacote para encontrar pacotes que possam ter criado: $ fgrep backup1 /var/lib/dpkg/info/*.postinst . O usuário tem uma senha em / etc / shadow? A conta está bloqueada? Qual é o shell padrão do usuário?

Acompanhamento de informações adicionais:

Um uid de 1006 é uma conta de login "normal", não uma conta do sistema. Além disso, como o usuário tem um diretório inicial em / home, tem um shell de login e uma senha, tudo indica que a conta foi criada por alguém executando adduser como root. A conta não está bloqueada. Uma conta bloqueada terá um '!' antes do hash da senha. Você pode bloquear a conta executando passwd -l backup1 .

Fontes potenciais para a criação desta conta incluem:

  • outros administradores de sistema
  • instaladores de software de terceiros ou pacotes que não são dos repositórios oficiais do Ubuntu

Você também pode usar o comando lastlog para ver quando a conta foi registrada pela última vez.

    
por dsh 20.03.2013 / 03:35