V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wly19960911
V2EX  ›  问与答

查看 /var/secure 发现自动创建用户是什么情况?

  •  
  •   wly19960911 · 2017-05-31 22:24:47 +08:00 · 1100 次点击
    这是一个创建于 2733 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这段时间同学的服务器被爆破两次了(我也挺好奇如何被爆破的,日志检查了发现都被人上了公钥了),就开始检查下自己的 sshd 的日志,发现里面有一些奇怪的操作

    May 29 17:11:51 xxxxx groupadd[31936]: group added to /etc/group: name=mysql, GID=27
    May 29 17:11:51 xxxxx groupadd[31936]: group added to /etc/gshadow: name=mysql
    May 29 17:11:51 xxxxx groupadd[31936]: new group: name=mysql, GID=27
    May 29 17:11:51 xxxxx useradd[31940]: new user: name=mysql, UID=27, GID=27, home=/var/lib/mysql, shell=/sbin/nologin
    

    类似这种操作还有几个,比如 cgred、dockerroot、redis, 除了 cgred 以外都是我自己安装的服务,我很好奇这些东西创建有什么意义?

    有一个猜测就是 yum 安装的软件包创建的,问题为什么这样做?

    3 条回复    2017-05-31 22:56:31 +08:00
    wevsty
        1
    wevsty  
       2017-05-31 22:31:11 +08:00   ❤️ 1
    楼主的日志里面加了一个 mysql 的用户和 mysql 的组
    目的是为了 mysql 运行的时候使用 mysql 的权限,这样能在不影响使用的情况下只给最小的权限。
    shell=/sbin/nologin 就说明了,这个用户是被限制登陆的。
    hjc4869
        2
    hjc4869  
       2017-05-31 22:52:47 +08:00
    服务用自己的服务账号,挺常见的。
    wly19960911
        3
    wly19960911  
    OP
       2017-05-31 22:56:31 +08:00 via Android
    @hjc4869
    因为并不了解相关的账号问题,没有关注过。

    加上有另外一个 IP 也登录了和有人暴力测试这种账户,所以很奇怪,经检测貌似那个 IP 就是自己的 IP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   956 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:26 · PVG 04:26 · LAX 12:26 · JFK 15:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.