攻防演练作为蓝方,怎么知道服务器已经有隐藏用户了
创始人
2025-01-18 07:03:48
0

在 Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是 /etc/passwd,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。

1. 查看 /etc/passwd 文件

/etc/passwd 文件存储了系统上所有用户的信息,每一行代表一个用户。你可以使用 catless 命令查看这个文件:

cat /etc/passwd 

或者:

less /etc/passwd 

每行的格式通常是:

username:x:UID:GID:GECOS:home_directory:shell 
  • username 是用户的登录名。
  • x 表示密码存放在 /etc/shadow 文件中。
  • UID 是用户标识号。
  • GID 是用户主组标识号。
  • GECOS 是用户的全名或描述信息。
  • home_directory 是用户的家目录。
  • shell 是用户的默认登录 shell。

2. 解析 /etc/passwd 文件

你可以使用 awk 命令来更方便地读取 /etc/passwd 的内容。例如,列出所有用户的用户名和他们的默认 shell:

awk -F: '{ print $1, $7 }' /etc/passwd 

3. 检查用户的默认 Shell

如果你想检查哪些用户具有有效的登录 shell(通常是 /bin/bash),你可以执行:

awk -F: '$7=="/bin/bash" {print $1}' /etc/passwd 

4. 查找特定 UID 的用户

通常 UID 从 1000 开始为普通用户,小于 1000 的通常是系统账户(除了 root 用户的 UID 为 0)。要查找所有非系统账户,可以使用:

awk -F: '$3>=1000 && $3!=65534 {print $1}' /etc/passwd 

这里 65534 通常是 nobody 用户的 UID,这是一个没有文件系统权限的用户帐户。

5. 使用 getent 命令

getent 命令用于获取 entries,你可以使用它来获取用户信息,这对于包含 NIS 或 LDAP 等使用网络认证服务的系统尤其有用:

getent passwd 

通过这些方法,你可以有效地查看和分析系统上的所有用户账户,了解它们是否有登录权限以及它们的基本配置。这对于管理用户账户、确保系统安全等方面非常重要。

根据您提供的 /etc/passwd 文件内容,这里列出了服务器上所有的用户账号。要分析这些用户,可以基于其UID、GID、登录shell、家目录等属性进行。

分析步骤

  1. 分辨系统与普通用户

    • 系统用户通常的UID小于1000(除了特殊的 nobody 用户,通常的UID是65534),并且它们的登录shell通常是 /sbin/nologin/bin/false,表示这些用户不能登录shell。
    • 普通用户的UID通常从1000开始,这些用户可以有登录权限,且登录shell通常是 /bin/bash 或其他有效shell。
  2. 特别关注具有有效shell的用户

    • 这些用户可能有直接登录系统的能力。在您的列表中,具有 /bin/bash 的用户包括 szhyreadonlykingbasejqsftpfmmwc。这些账户应该被视为具有潜在的交互操作能力的用户。
  3. 检查用户的家目录和描述

    • 验证这些用户的家目录是否合理,比如 szhy 用户的家目录是 /home/szhy,这是预期的正确设置。
    • 检查描述字段(通常是GECOS字段),如 mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/false,描述是“MySQL Server”,说明这是一个服务账户。

检查是否有隐藏用户

尽管 /etc/passwd 文件是公开的,但有些用户可能被配置以较隐蔽的方式存在。以下是几种检查是否有隐藏或未授权用户的方法:

  1. 对比 /etc/passwd/etc/shadow

    • 确保 /etc/passwd 中的每个用户都在 /etc/shadow 中有对应的条目。可以使用以下命令检查:
      getent shadow | cut -d: -f1 | sort > shadow_users getent passwd | cut -d: -f1 | sort > passwd_users diff passwd_users shadow_users 
    • 该命令比较两个文件中列出的用户,如果存在不匹配,则需要进一步调查。
  2. 检查系统日志

    • 查看 /var/log/auth.log/var/log/secure(根据CentOS版本不同,日志文件位置可能有差异),检查未授权或异常登录尝试。
      cat /var/log/secure | grep 'authentication failure' 
  3. 审核用户的.bash_history文件

    • 查看有shell访问权限的用户的历史命令,以寻找任何不寻常或潜在的恶意活动。
      cat /home/szhy/.bash_history 

通过这些检查,您可以验证系统中是否存在未授权或隐藏的用户,并采取相应的安全措施。保持定期审计和监控系统用户是保障系统安全的重要步骤。

相关内容

热门资讯

一分钟内幕!科乐吉林麻将系统发... 一分钟内幕!科乐吉林麻将系统发牌规律,福建大玩家确实真的是有挂,技巧教程(有挂ai代打);所有人都在...
一分钟揭秘!微扑克辅助软件(透... 一分钟揭秘!微扑克辅助软件(透视辅助)确实是有挂(2024已更新)(哔哩哔哩);1、用户打开应用后不...
五分钟发现!广东雀神麻雀怎么赢... 五分钟发现!广东雀神麻雀怎么赢,朋朋棋牌都是是真的有挂,高科技教程(有挂方法)1、广东雀神麻雀怎么赢...
每日必看!人皇大厅吗(透明挂)... 每日必看!人皇大厅吗(透明挂)好像存在有挂(2026已更新)(哔哩哔哩);人皇大厅吗辅助器中分为三种...
重大科普!新华棋牌有挂吗(透视... 重大科普!新华棋牌有挂吗(透视)一直是有挂(2021已更新)(哔哩哔哩)1、完成新华棋牌有挂吗的残局...
二分钟内幕!微信小程序途游辅助... 二分钟内幕!微信小程序途游辅助器,掌中乐游戏中心其实存在有挂,微扑克教程(有挂规律)二分钟内幕!微信...
科技揭秘!jj斗地主系统控牌吗... 科技揭秘!jj斗地主系统控牌吗(透视)本来真的是有挂(2025已更新)(哔哩哔哩)1、科技揭秘!jj...
1分钟普及!哈灵麻将攻略小,微... 1分钟普及!哈灵麻将攻略小,微信小程序十三张好像存在有挂,规律教程(有挂技巧)哈灵麻将攻略小是一种具...
9分钟教程!科乐麻将有挂吗,传... 9分钟教程!科乐麻将有挂吗,传送屋高防版辅助(总是存在有挂)1、完成传送屋高防版辅助透视辅助安装,帮...
每日必看教程!兴动游戏辅助器下... 每日必看教程!兴动游戏辅助器下载(辅助)真是真的有挂(2025已更新)(哔哩哔哩)1、打开软件启动之...