Nome gruppo strano (1002)

3

Per favore perdonami se questo è il posto sbagliato per chiederlo, ma ho eseguito ls -l su una macchina Ubuntu oggi in / etc e ho trovato alcune voci come la seguente voce centrale che sembra avere spazi davanti al GID .

-rw-r--r-- 1 root root      92 Apr  9 11:10 host.conf
-rw-r--r-- 1 root   1002    25 Aug 13 05:26 hostname
-rw-r--r-- 1 root root     116 Aug 13 05:26 hosts

Ho cercato di eseguire alcuni comandi diversi per ottenere il nome del gruppo dal GID come:

getent group %20%201002 | cut -d: -f1

e

getent group \ \ 1002 | cut -d: -f1

Ma niente.

Leggete un po 'sui GID di Linux e POSIX dice questo non dovrebbe essere possibile .

Questo è qualcosa di preoccupante per la sicurezza?

E qualcuno può forse offrire una spiegazione?

Google sembra non sapere nulla a riguardo.

Grazie in anticipo.

    
posta uofc 23.08.2018 - 03:27
fonte

1 risposta

4

Quel file hostname appartiene al gruppo ID 1002 e non vi è alcuna voce in /etc/group che associ qualsiasi nome di gruppo a GID 1002, quindi ls -l mostra semplicemente il numero del gruppo invece di un nome. E quando viene visualizzato un GID spoglio, a differenza di un gruppo con nome, è giustificato a destra, facendo sembrare che abbia spazi iniziali rispetto ai nomi di gruppo più lunghi. Qui puoi vedere con tre file che ho creato e fornito proprietà dell'utente / gruppo che lo dimostrerebbero:

$ ls -l foo*
-rw-r--r-- 1 gowenfawr          1002 0 Aug 23 01:29 foo
-rw-r--r-- 1 systemd-resolve nogroup 0 Aug 23 01:30 foo2
-rw-r--r-- 1 gowenfawr       cdrom   0 Aug 23 01:33 foo3
$

Qui non ci sono particolari problemi di sicurezza, tranne forse che in qualche modo il tuo file /etc/hostname ha cambiato la proprietà del gruppo. Potresti voler cercare tutti gli utenti che appartengono a quel gruppo:

$ awk -F: '$4 == 1002 {print $0}' /etc/passwd

e potresti voler cercare altri file con quella proprietà del gruppo:

$ find /etc -gid 1002 -ls
   136023      4 -rw-r--r-- 1 root   1002    25 Aug 13 05:26 /etc/hostname

Se dovessi scoprire che, ad esempio, /etc/passwd e /etc/shadow erano di proprietà di 1002, ciò vorrebbe indicare un serio problema di sicurezza.

Se, mentre commentate, /etc/resolv.conf e /etc/network/interfaces sono anch'essi di proprietà di quel file, allora quasi certamente avete un client DHCP o altro gestore di rete che sta gestendo quei file e impostando la proprietà del gruppo su 1002 quando aggiorna loro, probabilmente in risposta a un file di configurazione che dice di usare GID 1002. Un modo ottuso per controllare questo sarebbe

$ grep -r 1002 /etc/*

ma potrebbe avere un falso positivo o due. Se trovi un file di configurazione con nome di rete con una voce come "group = 1002", allora questo è il tuo colpevole:)

    
risposta data 23.08.2018 - 03:34
fonte

Leggi altre domande sui tag