最近我被要求看一个“朋友”的系统,这让我完全陷入了沉思。 他们原来的问题对我说:
这是我发现后,检查了他们的防火墙,TCP包装,sshdconfiguration,sudoers等
您运行的任何引用用户的命令似乎总是引用根。 一些例子:
whoami和who am i回归根 在/ usr / bin或/ bin或/ sbin中的程序中没有设置粘性位,除了通常期望看到的位。
这个问题很奇怪,我甚至不知道要使用什么search条件。
一半的想法欢迎。
@Matthew Ife:扫描的用户ID是501,但是getent passwd scan返回:
scan:x:0:0::/home/scan:/bin/bash
扫描的用户标识设置为0(根)。
检查/etc/passwd包含两个用于扫描的条目。 一个映射到根。
否则,如果您使用任何其他名称服务检查这些不导出扫描为UID 0。
并且确保你告诉这些人将多个账户映射到相同的UID不是一个好主意,因为你打破了通常期望的权限分离。