アカウントのチェック

Posted on | By slk15user001 | No comments

$ sudo cat /etc/shadow | cut -d: -f1 | sed -z ‘s/\n/,/g’
root,bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,ftp,smmsp,mysql,
rpc,sshd,gdm,ntp,icecc,oprofile,usbmux,named,sddm,pulse,dhcpcd,apache,messagebus,haldaemon,
polkitd,pop,postfix,dovecot,dovenull,nobody,ldap (自分のは外した)

以下のslackwareのアカウントに怪しいものはあるか?追加されているか? (->ChatGPT)
root,bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,ftp,smmsp,mysql,
rpc,sshd,gdm,ntp,icecc,oprofile,usbmux,named,sddm,pulse,dhcpcd,apache,messagebus,haldaemon,
polkitd,pop,postfix,dovecot,dovenull,nobody,ldap

挙げられているSlackwareのアカウント(ユーザー)一覧は、ほとんどが**システム用に標準的に存在するアカウント**です。SlackwareのようなUNIX系OSでは、各種サービスやデーモンが独自のアカウントで実行されるのが一般的です。
以下は、それらのアカウントの分類と、**注意が必要かもしれないもの**を簡単に解説します。

### ✅ **通常のシステムアカウント(問題なし)**
| アカウント名 | 説明                              |
| ------------ | --------------------------------- |
| `root`       | 管理者アカウント                  |
| `bin`        | 実行ファイルの所有者(伝統的)    |
| `daemon`     | 一般的なデーモン用                |
| `adm`        | ログ管理用                        |
| `lp`         | プリンタ関連                      |
| `sync`       | `sync`コマンド用(セキュリティ目的)|
| `shutdown`   | システム停止用                    |
| `halt`       | システム停止用                    |
| `mail`       | メールスプール用                  |
| `news`       | ニュースグループ関連              |
| `uucp`       | UUCP(古い通信プロトコル)用      |
| `operator`   | システム操作用                    |
| `games`      | ゲーム実行ユーザー                |
| `ftp`        | FTPサーバー用                     |
| `smmsp`      | Sendmailのメールキュー処理用      |
| `mysql`      | MySQL用アカウント                 |
| `rpc`        | RPCバインダー用                   |
| `sshd`       | SSHデーモン用                     |
| `gdm`        | GNOME Display Manager用           |
| `ntp`        | Network Time Protocol用           |
| `icecc`      | icecc分散コンパイル(使っていれば) |
| `oprofile`   | パフォーマンス解析ツール用        |
| `usbmux`     | Appleデバイス接続用               |
| `named`      | BIND DNSサーバー用                |
| `sddm`       | Simple Display Manager(KDE用)     |
| `pulse`      | PulseAudio用                      |
| `dhcpcd`     | DHCPクライアント用                |
| `apache`     | Apache Webサーバー用              |
| `messagebus` | D-Busメッセージシステム用         |
| `haldaemon`  | HAL(旧ハードウェア抽象レイヤ)     |
| `polkitd`    | PolicyKitデーモン用               |
| `pop`        | POPメールサーバー用(使っていれば) |
| `postfix`    | Postfix MTA用                     |
| `dovecot`    | Dovecot IMAPサーバー用            |
| `dovenull`   | Dovecot内部用                     |
| `nobody`     | 権限なしユーザー                  |
| `ldap`       | OpenLDAP用アカウント              |

### ⚠️ **気をつけるべきポイント**
* **不審アカウントが追加されたか?**
あなたが挙げたアカウントは、Slackwareのシステム用途や代表的なサービス用のアカウントばかりで、**異常なアカウントは見られません**。
ただし、\*\*システムに本来入れていないサービスがインストールされていたり、不審なUID(例: UIDが1000以上なのにシステム用途)\*\*なアカウントが存在する場合は、注意が必要です。
* **`icecc`, `usbmux`, `oprofile`** など:
これらはSlackwareの標準パッケージに含まれることがありますが、**あなたがこれらのサービスを使っていない場合**は、意図せずインストールされていないか確認する価値があります。
### 🔍 追加チェック方法
Slackwareでシステムアカウントの異常を調べるには:
$ cat /etc/passwd
を実行し、以下の点をチェックします:
1. **UIDが1000以上のユーザーで意図しないものがないか?**
2. **ホームディレクトリが存在しないのにログインシェルが有効(例: `/bin/bash`)になっていないか?**
3. **`nologin`シェルでないサービスアカウントがないか?**
例えば怪しいアカウントの例:
hacker:x:1001:1001::/home/hacker:/bin/bash
これは、UIDもログインシェルも通常のログインユーザーと同様で、**侵入者が作った可能性**があります。
### ✅ 結論
* あなたが挙げたアカウントリストに**即座に怪しいものは見当たりません**。
* ただし、不要なサービスアカウント(`icecc`や`usbmux`など)があるなら、それらがインストールされた理由を確認してください。
* さらに安心したい場合は、`/etc/passwd`と`/etc/shadow`の監査や、ログ(`/var/log/secure`など)の確認をおすすめします。
必要であれば、`/etc/passwd`の全出力を貼っていただければ、さらに詳細に確認可能です。

以下のslackwareのアカウントに怪しいものはあるか?追加されているか? (->DeepSeek)
root,bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,ftp,smmsp,mysql,
rpc,sshd,gdm,ntp,icecc,oprofile,usbmux,named,sddm,pulse,dhcpcd,apache,messagebus,haldaemon,
polkitd,pop,postfix,dovecot,dovenull,nobody,ldap

Slackwareのデフォルトアカウントと比較して、以下のアカウントが追加されている可能性があり、特に怪しいものや注意が必要なものを指摘します。
### デフォルトでは存在しない可能性が高いアカウント(調査推奨):
1. **icecc** – Icecream分散コンパイルシステム用(正当な用途あり)
2. **oprofile** – OProfileプロファイリングツール用(正当な用途あり)
3. **usbmux** – USBデバイス管理用(iOSデバイス接続など)
4. **named** – BIND DNSサーバー用(DNSサーバービスを実行している場合あり)
5. **sddm** – SDDMディスプレイマネージャ(KDE環境で使用)
6. **pulse** – おそらく**pulse**(PulseAudioサウンドシステム用、タイポかも)
7. **pop** – 一般的なデフォルトアカウントではない(PostfixやDovecot関連?)
8. **dovenull** – Dovecot関連の特殊アカウント(正当な用途あり)
### 特に注意が必要な可能性があるアカウント:
– **pop**: 一般的なシステムアカウントではないため、調査が必要です。メールサーバー(Postfix/Dovecot)に関連している可能性がありますが、正当な理由がない場合は要注意です。
– **pulse**: タイポの可能性があります(正しくは`pulseaudio`など)。存在しない場合は不正なアカウントの可能性があります。
– **icecc**, **oprofile**: これらのサービスを意図的に使用していない場合は、不要なアカウントかもしれません。
### 全体的なアドバイス:
1. **不要なアカウントの無効化**: 使用していないサービスに関連するアカウントは`/etc/passwd`や`/etc/shadow`から削除またはロック(`/sbin/nologin`に設定)してください。
$ passwd -l アカウント名 # アカウントをロック
2. **ログインシェルの確認**: `/etc/passwd`で各アカウントのログインシェルが`/sbin/nologin`または`/bin/false`になっていることを確認します。
3. **root以外のログイン禁止**: `root`以外で直接ログイン可能なアカウントがないか確認します。
### デフォルトアカウントとの比較:
Slackwareの標準アカウントは通常、`root, bin, daemon, adm, lp, sync, shutdown, halt, mail, news, uucp, operator, games, nobody`などです。それ以外のアカウントは追加されたサービスやアプリケーションによるものです。
**注**: 実際の調査には`/etc/passwd`の内容を直接確認し、各アカウントのUID/GIDやホームディレクトリ、ログインシェルをチェックすることが重要です。

Category: Linuxシステム

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です