Erklärung der passwd

[tschulian]

Hallo,

in meiner passwd stehen folgende User:

Last login: Thu Jul  9 11:38:34 2015 from domain.name.de

root@IP1231:~# cat /etc/passwd


root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/bin/sh

bin:x:2:2:bin:/bin:/bin/sh

sys:x:3:3:sys:/dev:/bin/sh

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/bin/sh

man:x:6:12:man:/var/cache/man:/bin/sh

lp:x:7:7:lp:/var/spool/lpd:/bin/sh

mail:x:8:8:mail:/var/mail:/bin/sh

news:x:9:9:news:/var/spool/news:/bin/sh

uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh

proxy:x:13:13:proxy:/bin:/bin/sh

www-data:x:33:33:www-data:/var/www:/bin/sh

backup:x:34:34:backup:/var/backups:/bin/sh

list:x:38:38:Mailing List Manager:/var/list:/bin/sh

irc:x:39:39:ircd:/var/run/ircd:/bin/sh

gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh

nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

libuuid:x:100:101::/var/lib/libuuid:/bin/sh

sshd:x:101:65534::/var/run/sshd:/usr/sbin/nologin

bind:x:102:104::/var/cache/bind:/bin/false

messagebus:x:103:105::/var/run/dbus:/bin/false

proftpd:x:104:65534::/var/run/proftpd:/bin/false

ftp:x:105:65534::/srv/ftp:/bin/false

ftpadmin:x:1000:1000:,,,:/home/ftp:/bin/false

ftpuser:x:1001:1000:,,,:/home/ftp:/bin/false

Ist ein Debian 7 (Wheezy) (64 Bit)

Welche dieser User sind hier nicht Standardmäßig?

Denke es hat noch jemand Zugriff auf den Server...

Und eine evtl. kurzer Erlärung was das alles heißt :S

[carstenj]

Hi,

"Standard" ist immer eine Auslegungssache. Im Grunde brauchst du nur root und evtl. einen normalen Benutzer, der Rest wird durch irgendwelche Dienste angelegegt. "www-data" lässt darauf schließen, dass du einen Webserver installiert hast und "sshd", dass ssh läuft.

Denke es hat noch jemand Zugriff auf den Server...

Meinst du jemand hat unberechtigterweise Zugriff auf den Server? Wie kommste du darauf? Dann solltest du mal mit last z.B. schauen, wer wann wie lange eingeloggt war. Weiterhin solltest du dann Logins überwachen, auf rootkits untersuchen etc.

Wo steht der Server? In der DMZ? Was soll der Server überhaupt tun?

Was die passwd betrifft, sieh dir das an:

https://www.debian.org/doc/manuals/debian-reference/ch04.de.html

[tschulian]

Hi,

der Server ist ein Web und FTP Server den ich (da ich wenig Unix Kentnisse hab) von einem "anderen" aufsetzen hab lassen.

Hab das ROOT Passwort geändert. Nen anderen root User gibt es ja laut der passwd nicht.

ftp / ftpuser und ftpadmin habe ich angelegt.

[carstenj]

Hi,

es gibt auch nur einen root-User. Du solltest zudem einen direkten SSH-Login für den root-User verbieten und einen Benutzer für die alltägliche Arbeit anlegen.

https://www.thomas-krenn.com/de/wiki/SSH_Root_Login_unter_Debian_verbieten

[GoaSkin]

Viele Anwendungen, die man installieren kann, laufen unter ihrem eigenen User. D.h. die Installations-Skripte legen einen User an (in diesem Fall u.A. proftpd) und entfernen Diesen wieder beim Deinstallieren. Dadurch wird vermieden, dass die eine Software das Recht hat, in den Daten der Anderen herumzupfuschen.

Einloggen kann man sich immer nur mit Benutzern, die auch ein Passwort haben. Zu den Benutzern, bei denen die Shell nicht /bin/false oder /bin/nologin ist, kann man - wenn man als Root eingeloggt ist - sich eine Shell mit dem su-Befehl holen. Einige System-User haben eine Shell-Berechtigung, weil die Software sie intern braucht, um Skripte auszuführen.

[lilith2k3]

Denke es hat noch jemand Zugriff auf den Server...

Ich würde das Perd von hinten aufzäumen: Wie kommst du auf den Gedanken?

[GoaSkin]

Wie auch immer, die Datei /var/log/auth.log protokolliert, mit welchem System-User was wann von wo gemacht wurde.