Ese archivo hostname
es propiedad del ID de grupo 1002, y no hay ninguna entrada en /etc/group
que asigne ningún nombre de grupo a GID 1002, por lo que ls -l
simplemente muestra el número de grupo en lugar de un nombre. Y cuando se muestra un GID simple, a diferencia de un grupo con nombre, está justificado a la derecha, por lo que parece que tiene espacios iniciales en comparación con los nombres de grupos más largos. Aquí puede ver tres archivos que creé y le di a los usuarios / grupos de propiedad que demostrarían esto:
$ ls -l foo*
-rw-r--r-- 1 gowenfawr 1002 0 Aug 23 01:29 foo
-rw-r--r-- 1 systemd-resolve nogroup 0 Aug 23 01:30 foo2
-rw-r--r-- 1 gowenfawr cdrom 0 Aug 23 01:33 foo3
$
Aquí no hay ningún problema de seguridad en particular, excepto que quizás de alguna manera su archivo /etc/hostname
hizo que se modificara la propiedad del grupo. Es posible que desee buscar cualquier usuario que pertenezca a ese grupo:
$ awk -F: '$4 == 1002 {print $0}' /etc/passwd
y es posible que desee buscar otros archivos con la propiedad de ese grupo:
$ find /etc -gid 1002 -ls
136023 4 -rw-r--r-- 1 root 1002 25 Aug 13 05:26 /etc/hostname
Si tuviera que encontrar que, por ejemplo, /etc/passwd
y /etc/shadow
eran propiedad de 1002, eso le gustaría indicar un problema de seguridad grave.
Si, como usted comenta, /etc/resolv.conf
y /etc/network/interfaces
también son propiedad de ese archivo, entonces es casi seguro que tenga un cliente DHCP u otro administrador de red que administre esos archivos y establezca la propiedad del grupo en 1002 cuando se actualice. ellos, probablemente en respuesta a un archivo de configuración que diga usar GID 1002. Una forma contundente de verificar esto sería
$ grep -r 1002 /etc/*
pero eso puede tener un falso positivo o dos. Si encuentra un archivo de configuración llamado networky con una entrada como "grupo = 1002", entonces ese es su culpable :)