View previous topic :: View next topic |
Author |
Message |
fabius Guru
Joined: 29 Nov 2004 Posts: 525
|
Posted: Tue Jul 26, 2005 1:13 pm Post subject: utenti presenti di default nel sistema |
|
|
Come da oggetto, vorrei sapere a cosa serve l'utente operator che ho nel sistema. Appartiene al gruppo di root e la sua home è quella di root
Code: | operator:x:11:0:operator:/root:/bin/bash |
EDIT: cambiato il titolo originario "utente operator: chi è costui?"
Last edited by fabius on Tue Jul 26, 2005 2:07 pm; edited 1 time in total |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Jul 26, 2005 1:17 pm Post subject: Re: utente operator: chi è costui? |
|
|
eredità dei vecchi sistemi UNIX. non ti da nessun fastidio, comunque se vuoi toglierlo non dovresti fare danni |
|
Back to top |
|
|
fabius Guru
Joined: 29 Nov 2004 Posts: 525
|
Posted: Tue Jul 26, 2005 1:21 pm Post subject: |
|
|
Per curiosità, a cosa serviva? Grazie |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Jul 26, 2005 1:36 pm Post subject: |
|
|
fabius wrote: | Per curiosità, a cosa serviva? Grazie |
era uno dei superutenti: account che venivano dati a diverse persone, con compiti separati, fatti per non dover distribuire la password di root.
lo stesso dicesi per l'account adm |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Tue Jul 26, 2005 1:42 pm Post subject: |
|
|
Vi va se cambiamo la discussione in "utenti presenti di default nel sistema"?
A me interesserebbe molto l'argomento.. ho un sacco di utenti sul server dei quali non so che farmene...
Code: |
nebula ~ # gawk -F: '{ print $1 }' /etc/passwd
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
man
postmaster
cron
ftp
sshd
at
squid
gdm
xfs
games
named
mysql
postgres
apache
nut
cyrus
vpopmail
alias
qmaild
qmaill
qmailp
qmailq
qmailr
qmails
postfix
smmsp
portage
guest
nobody
lavish
whirl
dubadelica |
Inoltre, può portare a problemi di insicurezza avere molti utenti di questo tipo? (io non ho mai intallato qmail per capirci, ma ho lo stesso l'utente, idem per mysql, squid.... non ho giochi... and so on) _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
fabius Guru
Joined: 29 Nov 2004 Posts: 525
|
Posted: Tue Jul 26, 2005 2:04 pm Post subject: |
|
|
Cambiato il titolo del thread.
Secondo me dovresti prima capire chi ha aggiunto l'utente ed il motivo. Poi magari puoi rimuoverlo |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
|
Back to top |
|
|
fabius Guru
Joined: 29 Nov 2004 Posts: 525
|
Posted: Tue Jul 26, 2005 2:25 pm Post subject: |
|
|
In effetti hai ragione. Ho provato a vedere l'ebuild di squid: in questo viene creato sia il gruppo che l'utente squid. Ciò significa che i due vengono creati al momento dell'installazione. Quindi non dovrebbero servire: ignoro il motivo per il quale sono invece presenti
Magari potresti vedere per gli altri e postare il risultato della tua ricerca su utenti/gruppi superflui |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Wed Jul 27, 2005 7:22 am Post subject: |
|
|
fabius wrote: | ignoro il motivo per il quale sono invece presenti |
te l'ho detto: eredità dai vecchi sistemi UNIX.
in una qualunque versione di UNIX il software si compila e si installa copiando semplicemente i file al posto giusto. gli utenti che ti servono per fare separazione dei provilegi, te li dovresti creare a mano.
così a un certo punto qualcuno ha pensato bene di distribuire un passwd preconfezionato con un determinato insieme di utenti precostituito e con le stesse impostazioni di UID, home, e shell. in questo modo non solo si è portato via lavoro all'amministratore, ma si è alzato il livello di standardizzazione del sistema, che veniva così ad avere più componenti "standard" rispetto a prima.
in risposta al tuo problema, è vero che gli utenti "in eccesso" non servono, ma è anche vero che non ti danno nessun fastidio.
io li lascerei.
seccare gli utenti inutili è di solito la prima cosa che si fa quando si fa l'hardening del sistema. in quell'ottica ha senso... ma farlo così, tanto per fare, non penso ne valga la pena, perché non ti porta nessun vantaggio e rischi di cancellare un utente che credevi utile, ma che in realtà serve al tuo sistema per funzionare, e quindi di trovarti a piedi |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Wed Jul 27, 2005 8:46 am Post subject: |
|
|
k.gothmog wrote: | seccare gli utenti inutili è di solito la prima cosa che si fa quando si fa l'hardening del sistema. in quell'ottica ha senso... ma farlo così, tanto per fare, non penso ne valga la pena, perché non ti porta nessun vantaggio e rischi di cancellare un utente che credevi utile, ma che in realtà serve al tuo sistema per funzionare, e quindi di trovarti a piedi |
Io ho proceduto a fare l'hardening del sistema, ma essendo la mia prima esperienza, ero ben conscio di aver lasciato qualche aspetto "scoperto".
Ma qual'è il rischio che si corre (da parte di un utente locale) nell'avere l'utente... "squid" ma non avere il programma di proxy installato?
[EDIT] ho guardato l'ebuild di squid, e non mi sembra proprio che crei l'utente _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Jul 27, 2005 8:59 am Post subject: |
|
|
lavish wrote: | Ma qual'è il rischio che si corre (da parte di un utente locale) nell'avere l'utente... "squid" ma non avere il programma di proxy installato?
|
In linea di massima un utente in più è una possibilità di più che un aggressore trovi una password facile ed entri nel nostro sistema.
Utenti come squid o altri non hanno una password e quindi non ti puoi loggare con quell'utente IMHO il rischio è praticamente trascurabile. |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Wed Jul 27, 2005 9:47 am Post subject: |
|
|
Kernel78 wrote: | In linea di massima un utente in più è una possibilità di più che un aggressore trovi una password facile ed entri nel nostro sistema. |
Fin qui ci arrivo
Quote: | Utenti come squid o altri non hanno una password e quindi non ti puoi loggare con quell'utente IMHO il rischio è praticamente trascurabile. |
Più che non avere password, non hanno nè una shell nè una home, è per questo che non capisco il rischio. _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Jul 27, 2005 1:33 pm Post subject: |
|
|
lavish wrote: | Più che non avere password, non hanno nè una shell nè una home, è per questo che non capisco il rischio. |
Ho creato un utente Quote: | tmp:x:5000:5000::: | quindi senza home ne shell
loggandosi acquisisce come bash /bin/sh e come home /.
Senza password invece non può loggarsi.
Penso che adesso si veda dove può essere il pericolo |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Wed Jul 27, 2005 1:41 pm Post subject: |
|
|
Kernel78 wrote: | Ho creato un utente Quote: | tmp:x:5000:5000::: | quindi senza home ne shell
loggandosi acquisisce come bash /bin/sh e come home /.
Senza password invece non può loggarsi.
Penso che adesso si veda dove può essere il pericolo |
No, tu così gliela dai la home e la shell, vengono assegnati i valori di default.
Negare la shell è assegnare /bin/false , la home /dev/null.
Questo intendevo... e così sono settati gli users in /etc/passwd _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Jul 27, 2005 1:48 pm Post subject: |
|
|
lavish wrote: | Kernel78 wrote: | Ho creato un utente Quote: | tmp:x:5000:5000::: | quindi senza home ne shell
loggandosi acquisisce come bash /bin/sh e come home /.
Senza password invece non può loggarsi.
Penso che adesso si veda dove può essere il pericolo |
No, tu così gliela dai la home e la shell, vengono assegnati i valori di default.
Negare la shell è assegnare /bin/false , la home /dev/null.
Questo intendevo... e così sono settati gli users in /etc/passwd |
Tu avevi detto Quote: | non hanno nè una shell nè una home | avere /bin/false e /dev/null non significa mica non averle o negarle, anzi, devono essere esplicitamente assegnate. |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Wed Jul 27, 2005 1:59 pm Post subject: |
|
|
Kernel78 wrote: | Tu avevi detto Quote: | non hanno nè una shell nè una home | avere /bin/false e /dev/null non significa mica non averle o negarle, anzi, devono essere esplicitamente assegnate. |
guarda che "non avere una shell" != "avere la shell di default"
_________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Jul 27, 2005 2:04 pm Post subject: |
|
|
lavish wrote: | Kernel78 wrote: | Tu avevi detto Quote: | non hanno nè una shell nè una home | avere /bin/false e /dev/null non significa mica non averle o negarle, anzi, devono essere esplicitamente assegnate. |
guarda che "non avere una shell" != "avere la shell di default" |
Si ma "non avere una shell" != "avere come shell /bin/false"
semmai "non avere una shell" ~= "non avere una shell definita" IMHO |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Wed Jul 27, 2005 2:07 pm Post subject: |
|
|
Io non la vedo così, ad ogni modo penso che abbiamo una visione delle cose abbastanza differente
Come ho detto anche in un altro thread, basta non fossilizzarsi sulle proprie posizioni... ci siamo capiti? bene!
Cya _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
fabius Guru
Joined: 29 Nov 2004 Posts: 525
|
Posted: Thu Jul 28, 2005 12:27 pm Post subject: |
|
|
k.gothmog wrote: | fabius wrote: | ignoro il motivo per il quale sono invece presenti |
te l'ho detto: eredità dai vecchi sistemi UNIX. |
Ok, immaginavo che si trattasse solo di quelli di cui si è discusso all'inizio |
|
Back to top |
|
|
fabius Guru
Joined: 29 Nov 2004 Posts: 525
|
Posted: Thu Jul 28, 2005 12:30 pm Post subject: |
|
|
lavish wrote: | [EDIT] ho guardato l'ebuild di squid, e non mi sembra proprio che crei l'utente |
Estratto da squid-2.5.10.ebuild
Code: | pkg_setup() {
enewgroup squid 31
enewuser squid 31 -1 /var/cache/squid squid
}
|
|
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Thu Jul 28, 2005 4:05 pm Post subject: |
|
|
Che peerla sono, avevo guardato troppo di fretta :/
Beh, fa piacere sbagliarsi su questo, inizio a segare gli utenti del server
Grazie fabius! _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Sep 10, 2005 9:41 am Post subject: [Conf]Utenti aggiunti da portage con shell valida, che fare? |
|
|
Ravandando tra i file /etc/passwd, /etc/group e /etc/shadow per eliminare un po' di utenti creati da portage per programmi che ormai sono disinstallati da secoli (una cosa di portage che mi da un fastidio incredibile... come cazzo si permette di creare utenti senza nemmeno avvertirmi! ) mi sono imbattuto su alcuni utenti che, differentemente dalla maggior parte che hanno una shell fasulla (e quinti quantomeno non possono fare login) hanno /bin/bash come shell, e quindi immagino possano loggarsi...
Code: | operator:x:11:0:operator:/root:/bin/bash
games:x:35:35:games:/usr/games:/bin/bash
games-ded:x:36:35:added by portage for freeciv:/usr/games:/bin/bash |
Volevo sapere se secondo voi posso assegnare a tali utenti una shell fasulla (/bin/false, /dev/null....) senza problemi di sorta...
Mi preoccuopa soprattutto l'utente operator che non so chi sia e a che serva (è un qualcosa che serve al sistema per chissà quale scopo? qualcuno ne sa niente?) _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Sep 10, 2005 9:57 am Post subject: |
|
|
OOPS!
Scusate... ho postato senza cercare
Mea culpa! _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Sep 10, 2005 10:10 am Post subject: |
|
|
se agli utenti
Code: | operator:x:11:0:operator:/root:/bin/bash
games:x:35:35:games:/usr/games:/bin/bash
postgres:x:70:70::/var/lib/postgresql:/bin/bash
games-ded:x:36:35:added by portage for freeciv:/usr/games:/bin/bash |
assegno /bin/false secondo voi ci sono problemi?
Per funzionare richiedono per forza /bin/bash? Mi smebra strano visto che non devono loggarsi... _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
|