Nombre de grupo extraño (1002)

2

Por favor, perdóneme si este es el lugar equivocado para preguntar esto, pero corrí ls -l en una máquina ubuntu hoy en / etc y encontré algunas entradas como la siguiente entrada central que parece tener espacios frente al GID .

-rw-r--r-- 1 root root      92 Apr  9 11:10 host.conf
-rw-r--r-- 1 root   1002    25 Aug 13 05:26 hostname
-rw-r--r-- 1 root root     116 Aug 13 05:26 hosts

Intenté ejecutar algunos comandos diferentes para obtener el nombre del grupo del GID como:

getent group %20%201002 | cut -d: -f1

y

getent group \ \ 1002 | cut -d: -f1

Pero nada.

Lea un poco sobre Linux GIDs y POSIX dice esto no debería ser posible .

¿Es esto algo para preocuparse por la seguridad?

¿Y alguien puede ofrecer una explicación?

Google no parece saber nada de esto.

Gracias de antemano.

    
pregunta uofc 23.08.2018 - 03:27
fuente

1 respuesta

3

Ese archivo hostname es propiedad del ID de grupo 1002, y no hay ninguna entrada en /etc/group que asigne ningún nombre de grupo a GID 1002, por lo que ls -l simplemente muestra el número de grupo en lugar de un nombre. Y cuando se muestra un GID simple, a diferencia de un grupo con nombre, está justificado a la derecha, por lo que parece que tiene espacios iniciales en comparación con los nombres de grupos más largos. Aquí puede ver tres archivos que creé y le di a los usuarios / grupos de propiedad que demostrarían esto:

$ ls -l foo*
-rw-r--r-- 1 gowenfawr          1002 0 Aug 23 01:29 foo
-rw-r--r-- 1 systemd-resolve nogroup 0 Aug 23 01:30 foo2
-rw-r--r-- 1 gowenfawr       cdrom   0 Aug 23 01:33 foo3
$

Aquí no hay ningún problema de seguridad en particular, excepto que quizás de alguna manera su archivo /etc/hostname hizo que se modificara la propiedad del grupo. Es posible que desee buscar cualquier usuario que pertenezca a ese grupo:

$ awk -F: '$4 == 1002 {print $0}' /etc/passwd

y es posible que desee buscar otros archivos con la propiedad de ese grupo:

$ find /etc -gid 1002 -ls
   136023      4 -rw-r--r-- 1 root   1002    25 Aug 13 05:26 /etc/hostname

Si tuviera que encontrar que, por ejemplo, /etc/passwd y /etc/shadow eran propiedad de 1002, eso le gustaría indicar un problema de seguridad grave.

Si, como usted comenta, /etc/resolv.conf y /etc/network/interfaces también son propiedad de ese archivo, entonces es casi seguro que tenga un cliente DHCP u otro administrador de red que administre esos archivos y establezca la propiedad del grupo en 1002 cuando se actualice. ellos, probablemente en respuesta a un archivo de configuración que diga usar GID 1002. Una forma contundente de verificar esto sería

$ grep -r 1002 /etc/*

pero eso puede tener un falso positivo o dos. Si encuentra un archivo de configuración llamado networky con una entrada como "grupo = 1002", entonces ese es su culpable :)

    
respondido por el gowenfawr 23.08.2018 - 03:34
fuente

Lea otras preguntas en las etiquetas