দুটি মূল অ্যাকাউন্ট, কী করব?

19

আমি উবুন্টু 15.04 এ আছি এবং আজ আমি এই লিঙ্ক থেকে লিনাক্স সুরক্ষা সম্পর্কে একটি নিবন্ধ পড়ছি ।

ইউআইডি 0 অ্যাকাউন্টের অংশ না হওয়া পর্যন্ত সবকিছু ভাল ছিল

কেবলমাত্র মূলের ইউআইডি ০ হওয়া উচিত U সেই ইউআইডি সহ অন্য একটি অ্যাকাউন্ট প্রায়শই পিছনের অংশের সমার্থক।

কমান্ডটি চালিয়ে যখন তারা আমাকে দিয়েছে, আমি খুঁজে পেলাম যে আরও একটি মূল অ্যাকাউন্ট রয়েছে। ঠিক তার পরে আমি নিবন্ধটি হিসাবে অ্যাকাউন্টটি অক্ষম করেছিলাম তবে আমি এই অ্যাকাউন্ট থেকে একরকম ভীত, আমি তাকে খুঁজে পেতে পারি/etc/passwd

rootk:x:0:500::/:/bin/false

এবং ভিতরে /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

আমি এই অ্যাকাউন্টটি ব্যবহার করে মুছে ফেলার চেষ্টা করেছি userdel rootkকিন্তু এই ত্রুটিটি পেয়েছি;

userdel: user rootk is currently used by process 1

প্রক্রিয়া 1 সিস্টেমযুক্ত হয়। দয়া করে কেউ আমাকে কিছু পরামর্শ দিতে পারেন? আমার উচিত userdel -f? এই অ্যাকাউন্টটি কি সাধারণ রুট অ্যাকাউন্ট?

ubuntu  security  root 
LulzSec
সূত্র
5
আমি দৃ strongly়ভাবে সন্দেহ করি যে এই ত্রুটিটি কেবলমাত্র তাদের একই ইউআইডি (0) থাকার কারণে। আমি সবেমাত্র একটি বিদ্যমান ইউআইডি সহ দ্বিতীয় ব্যবহারকারী তৈরি করে একটি পরীক্ষা করেছি এবং এটি প্রথমটি হিসাবে জানানো হয়েছিল /etc/passwd। আমি আরও সন্দেহ করি যে এই অ্যাকাউন্টটি সরিয়ে ফেলার ফলে মেশিনে কোনও প্রভাব পড়তে পারে যেহেতু ফাইল এবং প্রক্রিয়াগুলি ইউআইডি-র উল্লেখ হয় এবং ব্যবহারকারীর নামটি নয়। একটি পুনরুদ্ধার ডিস্ক কার্যকর হওয়াই পরামর্শ দেওয়া হবে (যদিও সম্ভবত সম্ভবত প্রয়োজন হয় না ) তবে আমি এটি সরিয়ে ফেলব এবং কোনও উদ্বেগ ছাড়াই মেশিনটি পুনরায় চালু করব।
জুলি পেলেটিয়ার
2
/etc/passwd& থেকে /etc/shadow; পুনরায় বুট করা হয়েছে এবং এখন সবকিছু ঠিক আছে, রুটটি কেবলমাত্র রুট ব্যবহারকারী হিসাবে দেখানো হয়েছে আপনার সহায়তার জন্য আপনাকে ধন্যবাদ!
লুলজ্যাক
3
যে কোনও ক্ষেত্রে, কিছু রুট-কিট ডিটেক্টর চালানোর চেষ্টা করুন, কারণ আপনি সম্ভবত এটির দ্বারা আক্রান্ত হতে পারেন। rootkঅত্যন্ত সন্দেহজনক নাম এবং অ-অক্ষম পাসওয়ার্ড থাকা ট্রাজান ঘোড়ার কাছে পরাজিত হওয়ার লক্ষণ এটি আরও খারাপ। যাইহোক, এন্ট্রিটি সরাবেন না, এটি অক্ষম করার জন্য কেবল পাসওয়ার্ড ক্ষেত্রে কিছু চিঠি লিখুন, এটি আপনাকে কীভাবে সংক্রামিত হয়েছিল তা জানার জন্য ক্লু দেবে।
লুইস কলোরাডো
1
@ ডার্কহার্ট, নোপ, আমি ভয় পাচ্ছি না ... তবে একটি বিশ্বাসযোগ্য rootkবৈধ পাসওয়ার্ড (অক্ষম নয়) দিয়ে অ্যাকাউন্ট থাকা স্থানীয় নেটওয়ার্কের দ্বারা কিছু নেটওয়ার্কের ব্যবহার বা মূল অ্যাকাউন্টের অপব্যবহারের একটি শক্ত লক্ষণ। যেমনটি আমরা বলি: "পবিত্র ভার্জিনকে বিশ্বাস করুন, এবং দৌড়াবেন না ..."। যাইহোক, আপনি কি মনে করেন যে আমি এক ষোল বছর বয়সী ছেলে যার সাথে ইউনিক্স / লিনাক্সের অভিজ্ঞতা নেই? :(
লুইস কলোরাডো
2
/bin/falseচলমান দ্বারা জেনুইন ফাইল কিনা তা পরীক্ষা করতে চাই sudo dpkg -V coreutils। যদি এটি পরিবর্তন করা হয় তবে দয়া করে সবকিছু পুনরায় ইনস্টল করার বিষয়টি বিবেচনা করুন। উবুন্টু 15.04 6 মাসের জন্য EOL হয়েছে, সুতরাং যে কোনও বিদ্যমান এবং ভবিষ্যতের সুরক্ষা গর্তগুলি ঠিক করা যাচ্ছে না, তাই আপনি 16.04 এর মতো একটি নতুন সংস্করণ ইনস্টল করতে চাইতে পারেন।
মার্ক প্লটনিক

উত্তর:

27

প্রক্রিয়া এবং ফাইলগুলি আসলে ব্যবহারকারীর নাম নয়, ব্যবহারকারীর আইডি নম্বরগুলির মালিকানাধীন। rootkএবং rootএকই ইউআইডি রয়েছে, সুতরাং একজনের মালিকানাধীন প্রতিটি জিনিসই অন্যের মালিকানাধীন। আপনার বর্ণনার উপর ভিত্তি করে, মনে হচ্ছে এটি userdelপ্রতিটি রুট প্রক্রিয়া (ইউআইডি 0) সম্পর্কিত rootkব্যবহারকারী হিসাবে দেখেছিল ।

এই ম্যান পৃষ্ঠা অনুসারে , সক্রিয় প্রক্রিয়াগুলি থাকলেও অ্যাকাউন্টটি অপসারণের জন্য বাধ্য করার userdelএকটি বিকল্প -fরয়েছে। এবং userdelসম্ভবত rootkআসল রুট অ্যাকাউন্টকে প্রভাবিত না করে কেবল পাসওয়ার্ড প্রবেশ এবং হোম ডিরেক্টরি মুছে ফেলবে।

আরও সুরক্ষিত হওয়ার জন্য, আমি পাসওয়ার্ড ফাইলটির জন্য এন্ট্রি মুছে ফেলার জন্য হাত-সম্পাদনা করার ঝোঁক হতে পারি rootk, তারপরে হ্যান্ড- rootkরিমুভের হোম ডিরেক্টরিটি। আপনার সিস্টেমে নামের একটি কমান্ড থাকতে পারে vipw, যা আপনাকে /etc/passwdকোনও পাঠ্য সম্পাদককে নিরাপদে সম্পাদনা করতে দেয় ।

রাহুল
সূত্র
আপনাকে উত্তর দেওয়ার জন্য ধন্যবাদ! আমি স্বস্তির রাজা বোধ করি, আমি ভেবেছিলাম এটি কিছু খারাপ গৃহপালিত! আপনি যেমন বলেছিলেন আমি তা করেছি, আমি / etc / পাসডাব্লুডে রুটকের জন্য এন্ট্রি সরিয়েছি। তবে কোনও rootkহোম ডিরেক্টরি ছিল না
লুলসেক
26
@ লুলজ্যাক: rootkঅ্যাকাউন্টটি পিছনের অংশ হিসাবে তৈরি করা হয়েছে কিনা তা কোনওভাবেই আমাদের জানায় না । এর অর্থ হ'ল এটি সহজে মুছে ফেলা যায়।
জুলি পেলেটিয়ার
2
আমি মনে করি আপনি সমস্যার সম্পূর্ণ সমাধান করেন নি। আপনার প্রশ্নে আমার মন্তব্য দেখুন, দয়া করে।
লুইস কলোরাডো
6
স্পষ্টতই রুটকের হোম ডিরেক্টরি হ'ল ইউজারডেল-আর চালনা না করার বিষয়ে সতর্ক থাকুন/
জেফ
@ জেফ শ্যাচলার তবে আপনি যদি তা করেন তবে আপনিও একভাবে সমস্যার সমাধান করেছেন। দূষিত ব্যবহারকারী কোনও ফাইল দেখতে পেল না!
কিরকপ্যাট
23

এটা সত্যিই পিছনের মত দেখাচ্ছে।

আমি সিস্টেমটিকে আপোস করে বিবেচনা করব এবং কক্ষপথ থেকে এটি কমানোর চেষ্টা করব, এমনকি যদি মেশিনটিতে কী আকর্ষণীয় আশ্চর্য বিস্মৃত হয়েছিল (যেমন, কোনও ওয়েবসাইটের ব্যবহারকারীদের পাসওয়ার্ড পেতে একটি কীলগার) আপনি জানেন না এমন ব্যবহারকারীকে অপসারণ করা সম্ভব হয়।

সাইমন রিখটার
সূত্র
4
এটি মাইক্রোওয়েভের মধ্যে রাখুন এবং একটি নতুন কিনুন।
অ্যারন ম্যাকমিলিন
2
কি পিছনের মত চেহারা তোলে? এটি কোনও পরিচিত প্রোফাইল, রুটকিটস ইত্যাদির সাথে মেলে?
ফ্রেইহাইট
5
@ ফ্রেইহাইট ওয়েল, রুট অনুমতি সহ অতিরিক্ত ব্যবহারকারী হ'ল রুটকিট / ব্যাকডোরের সংজ্ঞা। একবার যদি কেউ সেই ব্যবহারকারী হিসাবে লগ ইন হয়ে যায় তবে তারা সিস্টেমে কোনও কিছুতে আপস করতে পারে। এমনকি যদি অ্যাকাউন্টটি নির্দোষ উদ্দেশ্যে তৈরি করা হয়েছিল (তবে তা কী হবে তা আমি জানি না) তবে অন্য কেউ এটি আবিষ্কার করে এবং এটি দূষিতভাবে ব্যবহার করতে পারত (উদাহরণস্বরূপ উইন্ডোজকে রুটকিটেড সনি ডিআরএম পড়ুন)।
IMSoP
1
@ ক্যাস্পার্ড: পাসওয়ার্ডটি অক্ষম নয়, এটি রয়েছে /etc/shadow। শেলটি সেট করা /bin/false(যদি এটির সাথে কোনও ছলনা করা না হয়) ইন্টারেক্টিভ লগইন অক্ষম করতে পারে তবে অ্যাকাউন্টটি অন্য উপায়ে ব্যবহার করা থেকে বিরত রাখতে পারে না। উদাহরণস্বরূপ, এনভায়রনমেন্ট ভেরিয়েবলের sudo -sদিকে নজর রাখবে SHELL, /etc/passwdকোন শেলটি চালানো হবে তা নির্ধারণের জন্য নয় ।
বেন ভয়েগট
1
@ ক্যাস্পার্ড: আহ, ঠিক আছে। কোনও লুকানো ক্রন্টব থেকে মূল হিসাবে পর্যায়ক্রমে সম্পাদন করার কোনও উপায় হতে পারে (যদিও /হোম ডিরেক্টরি হিসাবে পছন্দটি এর সাথে অসঙ্গত বলে মনে হয়)?
বেন ভয়েগট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.