Je suis sur Ubuntu 15.04 et aujourd'hui j'ai lu un article sur la sécurité Linux à partir de ce lien.
Tout s'est bien passé jusqu'à ce que la partie du compte UID 0
Seul root doit avoir l'UID 0. Un autre compte avec cet UID est souvent synonyme de backdoor.
En exécutant la commande qu'ils m'ont donnée, j'ai découvert qu'il y avait un autre compte root. Juste après, j'ai désactivé le compte comme le fait l'article, mais j'ai un peu peur de ce compte, je peux le trouver sur/etc/passwd
rootk:x:0:500::/:/bin/false
Et en /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
J'ai essayé de supprimer ce compte en utilisant userdel rootk
mais j'ai eu cette erreur;
userdel: user rootk is currently used by process 1
Le processus 1 est systemd. Quelqu'un pourrait-il me donner quelques conseils s'il vous plaît? Dois-je userdel -f
? Ce compte est-il un compte root normal?
/etc/passwd
& /etc/shadow
; redémarré et tout va bien maintenant, root est le seul affiché en tant qu'utilisateur root Merci pour votre aide!
rootk
est un nom trop suspect, et avoir un mot de passe non désactivé est pire un symptôme d'avoir été vaincu par un cheval de Troie. Au fait, ne supprimez pas l'entrée, insérez simplement une lettre dans le champ du mot de passe pour la désactiver, car cela vous donnera des indices pour savoir comment vous avez été infecté.
rootk
compte avec un mot de passe supposé valide (non désactivé) est un symptôme fort d'un certain exploit du réseau ou d'une mauvaise utilisation du compte root par l'utilisateur local. Comme nous disons: "Faites confiance à la Sainte Vierge, et ne courez pas ...". Soit dit en passant, pensez-vous que je suis un gars de seize ans sans expérience dans unix / linux? :(
/bin/false
le fichier est authentique en exécutant sudo dpkg -V coreutils
. S'il a été modifié, pensez à tout réinstaller. Ubuntu 15.04 est en fin de vie depuis 6 mois, de sorte que les failles de sécurité existantes et futures ne seront pas corrigées, vous pouvez donc installer une version plus récente telle que 16.04.
/etc/passwd
. Je doute également que la suppression de ce compte puisse avoir un impact sur la machine, car les fichiers et les processus se réfèrent à l'UID et non au nom d'utilisateur. Il serait souhaitable (bien que probablement pas nécessaire ) d'avoir un disque de récupération à portée de main, mais je le retirerais et redémarrerais la machine sans aucun souci.