Account di default shutdown, halt e sync - ancora in corso di spedizione?

1

Sono curioso di sapere se, e in caso affermativo, le distribuzioni Unix e Linux siano ancora disponibili con arresto, interruzione e sincronizzazione degli account predefiniti. Specificamente (da un documento Red Hat),

sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt

Da un punto di vista storico, questi account sono stati configurati in modo tale da poter accedere alla console fisica con le credenziali di questi account (tradizionalmente forniti con una password nulla, quindi era sufficiente inserire il nome utente) e correttamente spegnere un sistema senza dover fornire la password di root.

Questo potrebbe essere utile nel caso di una workstation desktop, ma è discutibile nel caso di un sistema server. Non ricordo che ci siano mai state protezioni contro l'accesso da terminali remoti o Internet con questi account (a differenza della root stessa) e la chiusura del sistema, che crea un rischio estremo di attacco DoS. Pertanto, le best practice hanno imposto per anni che questi account vengano rimossi a vista o, per lo meno, bloccati come tutti gli altri account predefiniti per impedirne l'utilizzo. Come account predefiniti, questi sono probabilmente i più pericolosi.

Quindi mi chiedo se i produttori di sistemi operativi abbiano finalmente l'indizio di non spedire sistemi con questi valori di default piuttosto eclatanti, o se c'è ancora qualche motivo per averli intorno?

    
posta Mike McManus 22.04.2016 - 20:14
fonte

1 risposta

0

Per il beneficio di coloro che non hanno bisogno della funzionalità di questi account aperti e desiderano stringere i loro sistemi (in particolare Red Hat che viene fornito con loro per impostazione predefinita), la mia organizzazione ha stabilito uno standard per la scadenza di questi account con comando

chage -E 1 sync

(o arresto o arresto). In questo modo la voce dell'account in / etc / passwd rimane intatta, ma l'account stesso non può più essere utilizzato. Non sono sicuro del motivo per cui non li rimuoviamo interamente, ma probabilmente ha qualcosa a che fare con il sistema di patching e la gestione dell'integrità dei file.

    
risposta data 02.01.2019 - 18:46
fonte

Leggi altre domande sui tag