攻防演练作为蓝方,怎么知道服务器已经有隐藏用户了
创始人
2025-01-18 07:03:48
0

在 Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是 /etc/passwd,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。

1. 查看 /etc/passwd 文件

/etc/passwd 文件存储了系统上所有用户的信息,每一行代表一个用户。你可以使用 catless 命令查看这个文件:

cat /etc/passwd 

或者:

less /etc/passwd 

每行的格式通常是:

username:x:UID:GID:GECOS:home_directory:shell 
  • username 是用户的登录名。
  • x 表示密码存放在 /etc/shadow 文件中。
  • UID 是用户标识号。
  • GID 是用户主组标识号。
  • GECOS 是用户的全名或描述信息。
  • home_directory 是用户的家目录。
  • shell 是用户的默认登录 shell。

2. 解析 /etc/passwd 文件

你可以使用 awk 命令来更方便地读取 /etc/passwd 的内容。例如,列出所有用户的用户名和他们的默认 shell:

awk -F: '{ print $1, $7 }' /etc/passwd 

3. 检查用户的默认 Shell

如果你想检查哪些用户具有有效的登录 shell(通常是 /bin/bash),你可以执行:

awk -F: '$7=="/bin/bash" {print $1}' /etc/passwd 

4. 查找特定 UID 的用户

通常 UID 从 1000 开始为普通用户,小于 1000 的通常是系统账户(除了 root 用户的 UID 为 0)。要查找所有非系统账户,可以使用:

awk -F: '$3>=1000 && $3!=65534 {print $1}' /etc/passwd 

这里 65534 通常是 nobody 用户的 UID,这是一个没有文件系统权限的用户帐户。

5. 使用 getent 命令

getent 命令用于获取 entries,你可以使用它来获取用户信息,这对于包含 NIS 或 LDAP 等使用网络认证服务的系统尤其有用:

getent passwd 

通过这些方法,你可以有效地查看和分析系统上的所有用户账户,了解它们是否有登录权限以及它们的基本配置。这对于管理用户账户、确保系统安全等方面非常重要。

根据您提供的 /etc/passwd 文件内容,这里列出了服务器上所有的用户账号。要分析这些用户,可以基于其UID、GID、登录shell、家目录等属性进行。

分析步骤

  1. 分辨系统与普通用户

    • 系统用户通常的UID小于1000(除了特殊的 nobody 用户,通常的UID是65534),并且它们的登录shell通常是 /sbin/nologin/bin/false,表示这些用户不能登录shell。
    • 普通用户的UID通常从1000开始,这些用户可以有登录权限,且登录shell通常是 /bin/bash 或其他有效shell。
  2. 特别关注具有有效shell的用户

    • 这些用户可能有直接登录系统的能力。在您的列表中,具有 /bin/bash 的用户包括 szhyreadonlykingbasejqsftpfmmwc。这些账户应该被视为具有潜在的交互操作能力的用户。
  3. 检查用户的家目录和描述

    • 验证这些用户的家目录是否合理,比如 szhy 用户的家目录是 /home/szhy,这是预期的正确设置。
    • 检查描述字段(通常是GECOS字段),如 mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/false,描述是“MySQL Server”,说明这是一个服务账户。

检查是否有隐藏用户

尽管 /etc/passwd 文件是公开的,但有些用户可能被配置以较隐蔽的方式存在。以下是几种检查是否有隐藏或未授权用户的方法:

  1. 对比 /etc/passwd/etc/shadow

    • 确保 /etc/passwd 中的每个用户都在 /etc/shadow 中有对应的条目。可以使用以下命令检查:
      getent shadow | cut -d: -f1 | sort > shadow_users getent passwd | cut -d: -f1 | sort > passwd_users diff passwd_users shadow_users 
    • 该命令比较两个文件中列出的用户,如果存在不匹配,则需要进一步调查。
  2. 检查系统日志

    • 查看 /var/log/auth.log/var/log/secure(根据CentOS版本不同,日志文件位置可能有差异),检查未授权或异常登录尝试。
      cat /var/log/secure | grep 'authentication failure' 
  3. 审核用户的.bash_history文件

    • 查看有shell访问权限的用户的历史命令,以寻找任何不寻常或潜在的恶意活动。
      cat /home/szhy/.bash_history 

通过这些检查,您可以验证系统中是否存在未授权或隐藏的用户,并采取相应的安全措施。保持定期审计和监控系统用户是保障系统安全的重要步骤。

相关内容

热门资讯

专业讨论!德扑之星真破解套路(... 专业讨论!德扑之星真破解套路(辅助挂)软件透明挂(有挂了解)-哔哩哔哩;人气非常高,ai更新快且高清...
每日必看!智星德州菠萝外挂检测... 每日必看!智星德州菠萝外挂检测(辅助挂)软件透明挂(有挂教学)-哔哩哔哩1、玩家可以在智星德州菠萝外...
透视透明挂!轰趴十三水有后台(... 轰趴十三水有后台赢率提升策略‌;透视透明挂!轰趴十三水有后台(辅助挂)软件透明挂(有挂详情)-哔哩哔...
发现玩家!德扑ai助手软件(辅... 发现玩家!德扑ai助手软件(辅助挂)透视辅助(有挂教学)-哔哩哔哩;玩家在德扑ai助手软件中需先进行...
一分钟了解!x-poker辅助... 一分钟了解!x-poker辅助软件(辅助挂)辅助透视(有挂攻略)-哔哩哔哩1、每一步都需要思考,不同...
一分钟揭秘!德州最新辅助器(辅... 一分钟揭秘!德州最新辅助器(辅助挂)透视辅助(有挂攻略)-哔哩哔哩;德州最新辅助器最新版本免费下载安...
玩家攻略推荐!德州辅助(辅助挂... 玩家攻略推荐!德州辅助(辅助挂)辅助透视(有挂了解)-哔哩哔哩是由北京得德州辅助黑科技有限公司精心研...
揭秘真相!pokernow德州... 《揭秘真相!pokernow德州(辅助挂)辅助透视(有挂介绍)-哔哩哔哩》 pokernow德州软件...
五分钟了解!德州之星辅助器(辅... 五分钟了解!德州之星辅助器(辅助挂)辅助透视(有挂透明)-哔哩哔哩1、很好的工具软件,可以解锁游戏的...
推荐一款!pokermaste... 1、推荐一款!pokermaster有外挂(辅助挂)透视辅助(有挂教学)-哔哩哔哩;详细教程。2、p...