攻防演练作为蓝方,怎么知道服务器已经有隐藏用户了
创始人
2025-01-18 07:03:48
0

在 Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是 /etc/passwd,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。

1. 查看 /etc/passwd 文件

/etc/passwd 文件存储了系统上所有用户的信息,每一行代表一个用户。你可以使用 catless 命令查看这个文件:

cat /etc/passwd 

或者:

less /etc/passwd 

每行的格式通常是:

username:x:UID:GID:GECOS:home_directory:shell 
  • username 是用户的登录名。
  • x 表示密码存放在 /etc/shadow 文件中。
  • UID 是用户标识号。
  • GID 是用户主组标识号。
  • GECOS 是用户的全名或描述信息。
  • home_directory 是用户的家目录。
  • shell 是用户的默认登录 shell。

2. 解析 /etc/passwd 文件

你可以使用 awk 命令来更方便地读取 /etc/passwd 的内容。例如,列出所有用户的用户名和他们的默认 shell:

awk -F: '{ print $1, $7 }' /etc/passwd 

3. 检查用户的默认 Shell

如果你想检查哪些用户具有有效的登录 shell(通常是 /bin/bash),你可以执行:

awk -F: '$7=="/bin/bash" {print $1}' /etc/passwd 

4. 查找特定 UID 的用户

通常 UID 从 1000 开始为普通用户,小于 1000 的通常是系统账户(除了 root 用户的 UID 为 0)。要查找所有非系统账户,可以使用:

awk -F: '$3>=1000 && $3!=65534 {print $1}' /etc/passwd 

这里 65534 通常是 nobody 用户的 UID,这是一个没有文件系统权限的用户帐户。

5. 使用 getent 命令

getent 命令用于获取 entries,你可以使用它来获取用户信息,这对于包含 NIS 或 LDAP 等使用网络认证服务的系统尤其有用:

getent passwd 

通过这些方法,你可以有效地查看和分析系统上的所有用户账户,了解它们是否有登录权限以及它们的基本配置。这对于管理用户账户、确保系统安全等方面非常重要。

根据您提供的 /etc/passwd 文件内容,这里列出了服务器上所有的用户账号。要分析这些用户,可以基于其UID、GID、登录shell、家目录等属性进行。

分析步骤

  1. 分辨系统与普通用户

    • 系统用户通常的UID小于1000(除了特殊的 nobody 用户,通常的UID是65534),并且它们的登录shell通常是 /sbin/nologin/bin/false,表示这些用户不能登录shell。
    • 普通用户的UID通常从1000开始,这些用户可以有登录权限,且登录shell通常是 /bin/bash 或其他有效shell。
  2. 特别关注具有有效shell的用户

    • 这些用户可能有直接登录系统的能力。在您的列表中,具有 /bin/bash 的用户包括 szhyreadonlykingbasejqsftpfmmwc。这些账户应该被视为具有潜在的交互操作能力的用户。
  3. 检查用户的家目录和描述

    • 验证这些用户的家目录是否合理,比如 szhy 用户的家目录是 /home/szhy,这是预期的正确设置。
    • 检查描述字段(通常是GECOS字段),如 mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/false,描述是“MySQL Server”,说明这是一个服务账户。

检查是否有隐藏用户

尽管 /etc/passwd 文件是公开的,但有些用户可能被配置以较隐蔽的方式存在。以下是几种检查是否有隐藏或未授权用户的方法:

  1. 对比 /etc/passwd/etc/shadow

    • 确保 /etc/passwd 中的每个用户都在 /etc/shadow 中有对应的条目。可以使用以下命令检查:
      getent shadow | cut -d: -f1 | sort > shadow_users getent passwd | cut -d: -f1 | sort > passwd_users diff passwd_users shadow_users 
    • 该命令比较两个文件中列出的用户,如果存在不匹配,则需要进一步调查。
  2. 检查系统日志

    • 查看 /var/log/auth.log/var/log/secure(根据CentOS版本不同,日志文件位置可能有差异),检查未授权或异常登录尝试。
      cat /var/log/secure | grep 'authentication failure' 
  3. 审核用户的.bash_history文件

    • 查看有shell访问权限的用户的历史命令,以寻找任何不寻常或潜在的恶意活动。
      cat /home/szhy/.bash_history 

通过这些检查,您可以验证系统中是否存在未授权或隐藏的用户,并采取相应的安全措施。保持定期审计和监控系统用户是保障系统安全的重要步骤。

相关内容

热门资讯

实测分享!小逸碰胡插件脚本,玩... 实测分享!小逸碰胡插件脚本,玩吧辅助器,练习教程(有挂详情)1、下载好小逸碰胡插件脚本透视辅助下载之...
一分钟揭秘!天酷互娱有辅助工具... 一分钟揭秘!天酷互娱有辅助工具嘛,九九山城万州版辅助,资料教程(有挂技术)1)天酷互娱有辅助工具嘛免...
传递经验!新道游辅助器,反杀新... 传递经验!新道游辅助器,反杀新火神辅助,资料教程(有挂解惑)1、首先打开新道游辅助器辅助器下载最新版...
今日头条!长城互娱辅助,新51... 今日头条!长城互娱辅助,新518互游脚本,模板教程(了解有挂)小薇(辅助器软件下载)致您一封信;亲爱...
科普攻略!哥哥打大a辅助,南丰... 科普攻略!哥哥打大a辅助,南丰数刀脚本,绝活儿教程(有挂技巧)暗藏猫腻,小编详细说明哥哥打大a辅助破...
我来教教你!琼戏互娱破解版,手... 我来教教你!琼戏互娱破解版,手机字牌辅助脚本工具,积累教程(有挂教学)1、操作简单,无需手机字牌辅助...
玩家必看教程!老友广东潮汕麻雀... 玩家必看教程!老友广东潮汕麻雀辅助,小程序卡五星辅助,绝活儿教程(有挂分析)1、任何老友广东潮汕麻雀...
推荐十款!全民牛牛拼三张开挂,... 推荐十款!全民牛牛拼三张开挂,吉祥填大坑脚本,机巧教程(有挂解惑)亲,关键说明,全民牛牛拼三张开挂透...
技术分享!拼三张自建房软件,微... 技术分享!拼三张自建房软件,微信微乐辅助器免费安装,方式教程(有挂存在)1、拼三张自建房软件脚本辅助...
一分钟快速了解!创思维激k软件... 一分钟快速了解!创思维激k软件助手,小闲巴渝辅助,妙计教程(有挂工具)1、金币登录送、破产送、升级送...