Para esclarecer tudo: -
1. Como ninguém entrou no seu sistema?
Ninguém usuário é um pseudo usuário criado por padrão em uma nova instalação em muitas distribuições Linux e Unix
2. Quem é que ninguém é usuário?
~$ sudo grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
3. Qual é o propósito de ninguém usuário?
No início das distribuições Unix e Linux, era comum a execução de daemons (por exemplo, um servidor web) sob nenhum usuário para limitar os danos ao resto do sistema, de modo que se um usuário mal-intencionado obtivesse controle sobre esse daemon, ele não tem acesso a nenhum arquivo ou direitos privilegiados.
Mas o problema é que, quando há vários daemons sendo executados com o usuário nobody, isso não tem mais sentido. É por isso que hoje esses daemons têm seu próprio usuário.
4. Como ninguém logou no seu sistema?
Você pode ter algum serviço / daemon em execução que é executado sob nenhum usuário. Alguns exemplos de serviços podem ser: httpd, nfs, postfix, etc
5. Quais são os dois processos em execução no seu sistema sob nenhum usuário?
- systemd - instância de usuário iniciada quando um usuário efetua login pela primeira vez (no seu caso, é o usuário nobody)
- (se pam_systemd estiver ativado), o systemd iniciará um subprocesso "(sd-pam) "que abre uma sessão do PAM para o usuário, usando o nome do serviço" systemd-user ".
6. Por que os processos (systemd e sd-pam) ainda estão lá, mesmo quando o serviço que rodava sob nenhum usuário não está mais sendo executado?
Bem, isso foi relatado como um bug onde
Systemd-user doesn't properly close its PAM session.
O Systemd não consegue fechar a sessão do pam corretamente porque o subprocesso do sd-pam descarta privilégios após o pam_open_session (). Portanto, pam_close_session () é executado como o usuário, e não como root, o que quebra os módulos PAM que precisam executar tarefas privilegiadas para limpar a sessão.
Para mais informações sobre isso: