Quel file hostname appartiene al gruppo ID 1002 e non vi è alcuna voce in /etc/group che associ qualsiasi nome di gruppo a GID 1002, quindi ls -l mostra semplicemente il numero del gruppo invece di un nome. E quando viene visualizzato un GID spoglio, a differenza di un gruppo con nome, è giustificato a destra, facendo sembrare che abbia spazi iniziali rispetto ai nomi di gruppo più lunghi. Qui puoi vedere con tre file che ho creato e fornito proprietà dell'utente / gruppo che lo dimostrerebbero:
$ ls -l foo*
-rw-r--r-- 1 gowenfawr 1002 0 Aug 23 01:29 foo
-rw-r--r-- 1 systemd-resolve nogroup 0 Aug 23 01:30 foo2
-rw-r--r-- 1 gowenfawr cdrom 0 Aug 23 01:33 foo3
$
Qui non ci sono particolari problemi di sicurezza, tranne forse che in qualche modo il tuo file /etc/hostname ha cambiato la proprietà del gruppo. Potresti voler cercare tutti gli utenti che appartengono a quel gruppo:
$ awk -F: '$4 == 1002 {print $0}' /etc/passwd
e potresti voler cercare altri file con quella proprietà del gruppo:
$ find /etc -gid 1002 -ls
136023 4 -rw-r--r-- 1 root 1002 25 Aug 13 05:26 /etc/hostname
Se dovessi scoprire che, ad esempio, /etc/passwd e /etc/shadow erano di proprietà di 1002, ciò vorrebbe indicare un serio problema di sicurezza.
Se, mentre commentate, /etc/resolv.conf e /etc/network/interfaces sono anch'essi di proprietà di quel file, allora quasi certamente avete un client DHCP o altro gestore di rete che sta gestendo quei file e impostando la proprietà del gruppo su 1002 quando aggiorna loro, probabilmente in risposta a un file di configurazione che dice di usare GID 1002. Un modo ottuso per controllare questo sarebbe
$ grep -r 1002 /etc/*
ma potrebbe avere un falso positivo o due. Se trovi un file di configurazione con nome di rete con una voce come "group = 1002", allora questo è il tuo colpevole:)