User nobody - Shellzugriff?

[schnere]

Hi!

Bei debian etch hat der user "nobody" anscheinend eine Shell zugewiesen.
Ist es sinnvoll diese auf /bin/false umzuleiten, oder wird diese gebraucht.
Ich frage deshalb, weil sich anscheinend jemand mit diesem Benutzer root-Zugriff per su geholt hat.

MfG schnere

[flo]

Kam mir merkwürdig vor, aber ich hab nachgesehen:

Code: Select all

# grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

Weiß da jemand etwas dazu??

[danu]

Code: Select all

#grep nobody /etc/passwd
nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/false

/var/lib/nobody ist bei mir ein leeres Verzeichnis
Aber wenn da ein Unbekannter Root Zugriff hatte, muss der Server neu aufgesetzt werden.

[schnere]

Hab den server bereits neu aufgesetzt, deshalb will ich sowas ja ausschließen...
Dann werd ich nobody mal auch den Shell-Zugriff verweigern...

[sledge0303]

Nobody hat per default keine Shell. Dann wird sich jemand diese gewährt haben.

[EdRoxter]

Hat mal jemand eine jungfräuliche Etch-Version zur Hand und kann das nachprüfen?
Nobody wird doch mainly von Samba benutzt, da braucht's ja eigentlich keine Shell..

[flo]

Nobody hat per default keine Shell. Dann wird sich jemand diese gewährt haben.

Siehe oben - Etch, eine Woche produktiv und per Hand auf Server gespielt ... :-) Da war niemand dran ...

[sledge0303]

Siehe oben - Etch, eine Woche produktiv und per Hand auf Server gespielt ... :-) Da war niemand dran ...

Code: Select all

grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

Etch gestern Abend installiert, per debootstrap :)

[flo]

Schaut ja aus wie bei mir :-)

[Joe User]

Leicht OT: http://blog.syscp.org/archives/58-Secur ... eEtch.html

[schnere]

Leicht OT: http://blog.syscp.org/archives/58-Secur ... eEtch.html

Code: Select all

AuthOrder mod_sql.c

habe ich in die proftpd.conf eingefügt.

Code: Select all

apache-modconf apache disable mod_userdir

hat was mit dem Directory listing zu tun, oder?
Der obige Code ist wahrscheinlich für apache und nicht für apache2.

Code: Select all

a2dismod userdir
Module userdir already disabled

Sollte also passen.

[elch_mg]

Mein Etch - allerdings schon etwas älter - hat nicht nur nobody die /bin/sh zugewiesen, sondern auch noch einigen anderen Accounts, bei denen ich mich frage, obs die überhaupt braucht. bin, sys, daemon, games, man, news, uucp, etc. pp.
Ich habe all denen jetzt erst einmal /bin/false zugewiesen, ohne allerdings gründlich zu prüfen, ob das unerwünschte Nebeneffekte hat.. ;) Hat da jemand schon etwas zu gefunden?

[schnere]

Folgendes kam bei der Untersuchung der Server-Logs:
cat /var/log/auth.log | grep nobody

Code: Select all

Apr 17 06:25:01 server01 su[27110]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27113]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27115]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27115]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:10 server01 su[27115]: (pam_unix) session closed for user nobody

komischerweise ist die Uhrzeit immer die Selbe auch an anderen Tagen...

[elch_mg]

cronjob, wetten? Geraten, weil zufällig eben selbst nachgeguckt: /etc/cron.daily/exim4-base?

[schnere]

Also nichts gefährliches ?! *grübel*

Tja, auf meinem neuen System war ich verwundert, dass ich eine Datei /var/mail/nobody habe, also hab ich mir die mal angesehen:

Es sind Mails an root@server01.local enthalten.
Diese Mails kommen von rkhunter und awstats.

awstats:

Code: Select all

/bin/sh: /usr/share/awstats/tools/awstats_updateall.pl: No such file or directory

hab awstats einfach per apt-get installiert, wieso is da dann nicht alles vorhanden?

Bei rkhunter hab ich meine Mail-Adresse für Warnungen in die Config eingetragen, Warnung habe ich noch keine bekommen, aber wieso steht das alles in /var/mail/nobody???

[aldee]

Folgendes kam bei der Untersuchung der Server-Logs:
cat /var/log/auth.log | grep nobody

Code: Select all

Apr 17 06:25:01 server01 su[27110]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27113]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27115]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27115]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:10 server01 su[27115]: (pam_unix) session closed for user nobody

komischerweise ist die Uhrzeit immer die Selbe auch an anderen Tagen...

nobody ist nicht root geworden, sondern andersherum. Das da sieht so aus, als käme es vom updatedb-Cronjob.