Чистка shadow

0

0

Доброго времени!
Хотелось бы прояснить вопрос по ненужным системным пользователям/группам. Я имею ввиду тех, что автоматом устанавливаются каким-либо пакетом, а при его удалении остаются в системе. Есть ли какой-нибудь софт/мануал по поиску таких «артефактов». Или, может быть, я зря беспокоюсь? Сюда пишу, так как думаю, что это проблема имеет отношение к безопасности.

Ссылка

←	Настройка firewall для i2p

Проблема из за denyhosts

→

у всех этих пользователей как правило запрет на вход в систему. То есть с помошью su из под рута можно зайти, а просто по логину и паролю нельзя. По этому зря беспокоишься.

~~TDrive~~ ★★★★★
(30.05.14 13:36:01 MSK)

Ссылка

Я бы просто заблокировал им пароль (поставить * вместо хеша пароля в shadow), и поставил бы /bin/false в качестве шелла (в принципе, по идее, блокировки пароля достаточно). Если на диске нет файлов/каталогов, у которых owner/группа - «ненужные системные пользователи/группы», то этого будет достаточно. А если есть такие файлы каталоги, следует убедиться: а так ли этот пользователь/группа не нужен?

Kroz ★★★★★
(30.05.14 18:42:27 MSK)

Или, может быть, я зря беспокоюсь?

this

чем тебе мешают эти пользователи?

emulek ★
(30.05.14 19:24:56 MSK)

Ответ на: комментарий от Kroz 30.05.14 18:42:27 MSK

То есть отсутствие файлов в собственности таких юзеров — достаточный критерий? Но есть ведь всякие динамические псевдоФС — как с ними?

pS ★
(30.05.14 21:36:55 MSK) автор топика

Ответ на: комментарий от emulek 30.05.14 19:24:56 MSK

чем тебе мешают эти пользователи?

Ненужное заслоняет сущность.

pS ★
(30.05.14 21:40:04 MSK) автор топика

Ответ на: комментарий от pS 30.05.14 21:40:04 MSK

man userdel

emulek ★
(30.05.14 21:44:34 MSK)

Ответ на: комментарий от emulek 30.05.14 21:44:34 MSK

Я в состоянии поднять ман «как удалить пользователя». Для начала нужно таких пользователей обнаружить. Может, в portage есть какое шаманство — такой-то ебилд создал пользователя X и т.п. Не знаю, eclass или что...

pS ★
(30.05.14 21:59:03 MSK) автор топика

Ответ на: комментарий от pS 30.05.14 21:40:04 MSK

Ненужное заслоняет сущность.

Нет, взгляни на это с той стороны, что у каждого пользователя есть уникальный uid. К этому uid могут быть привязаны файлы. И случайное переиспользование uid может как раз привести к утечке информации, да и просто багам.

Т.ч. лучшим решением остаётся, что passwd/shadow это append-only и что старые записи не удаляются для сохраниения истории и однозначного соответсвия файлов и их владельцев.

beastie ★★★★★
(30.05.14 22:01:16 MSK)

Ответ на: комментарий от beastie 30.05.14 22:01:16 MSK

Справедливое замечание. Однако остаётся проблема поиска таких пользователей для последующей блокировки.

pS ★
(30.05.14 22:12:32 MSK) автор топика

Ответ на: комментарий от pS 30.05.14 21:36:55 MSK

Но есть ведь всякие динамические псевдоФС

Не знаю наверняка, но предполагаю, что только root может создать что-то с несвоим user:group . Ну, если что-то уже работает под рутом... Так что ИМХО достаточный.

Kroz ★★★★★
(30.05.14 22:18:15 MSK)

Ссылка

Ответ на: комментарий от pS 30.05.14 22:12:32 MSK

А что emerge подсказок не делает?

Наш pkg_delete по крайней мере советует какие директории и какого юзверя удалить можно. И все автоматически созданные пользователи с '_' начинаются.

beastie ★★★★★
(30.05.14 22:22:40 MSK)

Ссылка

Ответ на: комментарий от pS 30.05.14 21:59:03 MSK

Я в состоянии поднять ман «как удалить пользователя». Для начала нужно таких пользователей обнаружить.

man 5 passwd не в состоянии поднять?

Может, в portage есть какое шаманство — такой-то ебилд создал пользователя X

у нас в слаке есть /var/log/scripts/, там все скрипты. Хотя пользователей у нас принято делать вручную, администратору системы, например

Before running this SlackBuild, define a davfs2 group and a davfs2 user. The davfs2 user shall have davfs2 as its initial login group, shall not have a shell and the home directory shall be /var/cache/davfs. Examples:
# groupadd -g 230 davfs2 # useradd -u 230 -d /var/cache/davfs2 -g davfs2 -s /bin/false davfs2

emulek ★
(30.05.14 22:26:00 MSK)