# utenti presenti di default nel sistema

## fabius

Come da oggetto, vorrei sapere a cosa serve l'utente operator che ho nel sistema. Appartiene al gruppo di root e la sua home è quella di root  :Shocked: 

```
operator:x:11:0:operator:/root:/bin/bash
```

EDIT: cambiato il titolo originario "utente operator: chi è costui?"Last edited by fabius on Tue Jul 26, 2005 2:07 pm; edited 1 time in total

----------

## .:chrome:.

eredità dei vecchi sistemi UNIX. non ti da nessun fastidio, comunque se vuoi toglierlo non dovresti fare danni

----------

## fabius

Per curiosità, a cosa serviva? Grazie

----------

## .:chrome:.

 *fabius wrote:*   

> Per curiosità, a cosa serviva? Grazie

 

era uno dei superutenti: account che venivano dati a diverse persone, con compiti separati, fatti per non dover distribuire la password di root.

lo stesso dicesi per l'account adm

----------

## lavish

Vi va se cambiamo la discussione in "utenti presenti di default nel sistema"?

A me interesserebbe molto l'argomento.. ho un sacco di utenti sul server dei quali non so che farmene...

```

nebula ~ # gawk -F: '{ print $1 }' /etc/passwd

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

man

postmaster

cron

ftp

sshd

at

squid

gdm

xfs

games

named

mysql

postgres

apache

nut

cyrus

vpopmail

alias

qmaild

qmaill

qmailp

qmailq

qmailr

qmails

postfix

smmsp

portage

guest

nobody

lavish

whirl

dubadelica
```

Inoltre, può portare a problemi di insicurezza avere molti utenti di questo tipo? (io non ho mai intallato qmail per capirci, ma ho lo stesso l'utente, idem per mysql, squid.... non ho giochi... and so on)

----------

## fabius

Cambiato il titolo del thread.

Secondo me dovresti prima capire chi ha aggiunto l'utente ed il motivo. Poi magari puoi rimuoverlo

----------

## lavish

Gli utenti erano già presenti di default mi sa

----------

## fabius

In effetti hai ragione. Ho provato a vedere l'ebuild di squid: in questo viene creato sia il gruppo che l'utente squid. Ciò significa che i due vengono creati al momento dell'installazione. Quindi non dovrebbero servire: ignoro il motivo per il quale sono invece presenti  :Smile: 

Magari potresti vedere per gli altri e postare il risultato della tua ricerca su utenti/gruppi superflui  :Wink: 

----------

## .:chrome:.

 *fabius wrote:*   

> ignoro il motivo per il quale sono invece presenti

 

te l'ho detto: eredità dai vecchi sistemi UNIX.

in una qualunque versione di UNIX il software si compila e si installa copiando semplicemente i file al posto giusto. gli utenti che ti servono per fare separazione dei provilegi, te li dovresti creare a mano.

così a un certo punto qualcuno ha pensato bene di distribuire un passwd preconfezionato con un determinato insieme di utenti precostituito e con le stesse impostazioni di UID, home, e shell. in questo modo non solo si è portato via lavoro all'amministratore, ma si è alzato il livello di standardizzazione del sistema, che veniva così ad avere più componenti "standard" rispetto a prima.

in risposta al tuo problema, è vero che gli utenti "in eccesso" non servono, ma è anche vero che non ti danno nessun fastidio.

io li lascerei.

seccare gli utenti inutili è di solito la prima cosa che si fa quando si fa l'hardening del sistema. in quell'ottica ha senso... ma farlo così, tanto per fare, non penso ne valga la pena, perché non ti porta nessun vantaggio e rischi di cancellare un utente che credevi utile, ma che in realtà serve al tuo sistema per funzionare, e quindi di trovarti a piedi

----------

## lavish

 *k.gothmog wrote:*   

> seccare gli utenti inutili è di solito la prima cosa che si fa quando si fa l'hardening del sistema. in quell'ottica ha senso... ma farlo così, tanto per fare, non penso ne valga la pena, perché non ti porta nessun vantaggio e rischi di cancellare un utente che credevi utile, ma che in realtà serve al tuo sistema per funzionare, e quindi di trovarti a piedi

 

Io ho proceduto a fare l'hardening del sistema, ma essendo la mia prima esperienza, ero ben conscio di aver lasciato qualche aspetto "scoperto".

Ma qual'è il rischio che si corre (da parte di un utente locale) nell'avere l'utente... "squid" ma non avere il programma di proxy installato?

[EDIT] ho guardato l'ebuild di squid, e non mi sembra proprio che crei l'utente

----------

## Kernel78

 *lavish wrote:*   

> Ma qual'è il rischio che si corre (da parte di un utente locale) nell'avere l'utente... "squid" ma non avere il programma di proxy installato?
> 
> 

 

In linea di massima un utente in più è una possibilità di più che un aggressore trovi una password facile ed entri nel nostro sistema.

Utenti come squid o altri non hanno una password e quindi non ti puoi loggare con quell'utente IMHO il rischio è praticamente trascurabile.

----------

## lavish

 *Kernel78 wrote:*   

> In linea di massima un utente in più è una possibilità di più che un aggressore trovi una password facile ed entri nel nostro sistema.

 

Fin qui ci arrivo  :Laughing: 

 *Quote:*   

> Utenti come squid o altri non hanno una password e quindi non ti puoi loggare con quell'utente IMHO il rischio è praticamente trascurabile.

 

Più che non avere password, non hanno nè una shell nè una home, è per questo che non capisco il rischio.

----------

## Kernel78

 *lavish wrote:*   

> Più che non avere password, non hanno nè una shell nè una home, è per questo che non capisco il rischio.

 

Ho creato un utente  *Quote:*   

> tmp:x:5000:5000:::

  quindi senza home ne shell

loggandosi acquisisce come bash /bin/sh e come home /.

Senza password invece non può loggarsi.

Penso che adesso si veda dove può essere il pericolo  :Rolling Eyes: 

----------

## lavish

 *Kernel78 wrote:*   

> Ho creato un utente  *Quote:*   tmp:x:5000:5000:::  quindi senza home ne shell
> 
> loggandosi acquisisce come bash /bin/sh e come home /.
> 
> Senza password invece non può loggarsi.
> ...

 

No, tu così gliela dai la home e la shell, vengono assegnati i valori di default.

Negare la shell è assegnare /bin/false , la home /dev/null.

Questo intendevo... e così sono settati gli users in /etc/passwd

----------

## Kernel78

 *lavish wrote:*   

>  *Kernel78 wrote:*   Ho creato un utente  *Quote:*   tmp:x:5000:5000:::  quindi senza home ne shell
> 
> loggandosi acquisisce come bash /bin/sh e come home /.
> 
> Senza password invece non può loggarsi.
> ...

 

Tu avevi detto  *Quote:*   

> non hanno nè una shell nè una home

 avere /bin/false e /dev/null non significa mica non averle o negarle, anzi, devono essere esplicitamente assegnate.

----------

## lavish

 *Kernel78 wrote:*   

> Tu avevi detto  *Quote:*   non hanno nè una shell nè una home avere /bin/false e /dev/null non significa mica non averle o negarle, anzi, devono essere esplicitamente assegnate.

 

guarda che "non avere una shell" != "avere la shell di default"

 :Laughing: 

----------

## Kernel78

 *lavish wrote:*   

>  *Kernel78 wrote:*   Tu avevi detto  *Quote:*   non hanno nè una shell nè una home avere /bin/false e /dev/null non significa mica non averle o negarle, anzi, devono essere esplicitamente assegnate. 
> 
> guarda che "non avere una shell" != "avere la shell di default"

 

Si ma "non avere una shell" != "avere come shell /bin/false"  :Laughing: 

semmai "non avere una shell" ~= "non avere una shell definita" IMHO

----------

## lavish

Io non la vedo così, ad ogni modo penso che abbiamo una visione delle cose abbastanza differente  :Wink: 

Come ho detto anche in un altro thread, basta non fossilizzarsi sulle proprie posizioni... ci siamo capiti? bene!

Cya

----------

## fabius

 *k.gothmog wrote:*   

>  *fabius wrote:*   ignoro il motivo per il quale sono invece presenti 
> 
> te l'ho detto: eredità dai vecchi sistemi UNIX.

 

Ok, immaginavo che si trattasse solo di quelli di cui si è discusso all'inizio  :Very Happy: 

----------

## fabius

 *lavish wrote:*   

> [EDIT] ho guardato l'ebuild di squid, e non mi sembra proprio che crei l'utente

 

Estratto da squid-2.5.10.ebuild

```
pkg_setup() {

    enewgroup squid 31

    enewuser squid 31 -1 /var/cache/squid squid

}

```

----------

## lavish

Che peerla sono, avevo guardato troppo di fretta :/

Beh, fa piacere sbagliarsi su questo, inizio a segare gli utenti del server

Grazie fabius!

----------

## Cazzantonio

Ravandando tra i file /etc/passwd, /etc/group e /etc/shadow per eliminare un po' di utenti creati da portage per programmi che ormai sono disinstallati da secoli (una cosa di portage che mi da un fastidio incredibile... come cazzo si permette di creare utenti senza nemmeno avvertirmi!   :Evil or Very Mad:  ) mi sono imbattuto su alcuni utenti che, differentemente dalla maggior parte che hanno una shell fasulla (e quinti quantomeno non possono fare login) hanno /bin/bash come shell, e quindi immagino possano loggarsi...   :Evil or Very Mad: 

```
operator:x:11:0:operator:/root:/bin/bash

games:x:35:35:games:/usr/games:/bin/bash

games-ded:x:36:35:added by portage for freeciv:/usr/games:/bin/bash
```

Volevo sapere se secondo voi posso assegnare a tali utenti una shell fasulla (/bin/false, /dev/null....) senza problemi di sorta...

Mi preoccuopa soprattutto l'utente operator che non so chi sia e a che serva (è un qualcosa che serve al sistema per chissà quale scopo? qualcuno ne sa niente?)

----------

## lavish

Ciao! Ne avevamo già parlato un pò qui

----------

## Cazzantonio

OOPS!   :Embarassed:   :Embarassed: 

Scusate... ho postato senza cercare   :Embarassed:   :Embarassed: 

Mea culpa!

----------

## Cazzantonio

se agli utenti

```
operator:x:11:0:operator:/root:/bin/bash

games:x:35:35:games:/usr/games:/bin/bash

postgres:x:70:70::/var/lib/postgresql:/bin/bash

games-ded:x:36:35:added by portage for freeciv:/usr/games:/bin/bash
```

assegno /bin/false secondo voi ci sono problemi?

Per funzionare richiedono per forza /bin/bash? Mi smebra strano visto che non devono loggarsi...

----------

## ProT-0-TypE

io postgres l'avevo dierttamente eliminato (visto che non ce l'ho installato) e non mi ha mai dato problemi. e sono tentato di farlo anche con gli altri..

----------

## Cazzantonio

Si ma se c'è magari è comodo (se mai un giorno volessi installare postgresql...)

Volevo solo sapere se, anche avendo postgresql installato, funziona uguale anche con /bin/false

per i gruppi games penso che la cosa sia ragionevole

----------

## .:chrome:.

 *Cazzantonio wrote:*   

> Volevo solo sapere se, anche avendo postgresql installato, funziona uguale anche con /bin/false

 

io CREDO di no. almeno, non nel caso particolare di postgres

pensa solo alla procedura di inizializzazione del database, e trai le tue conclusioni.

non ci metterei la mano sul fuoco, ma dubito che postgreSQL possa funzionare senza una shell valida

----------

## randomaze

 *k.gothmog wrote:*   

>  *Cazzantonio wrote:*   Volevo solo sapere se, anche avendo postgresql installato, funziona uguale anche con /bin/false 
> 
> io CREDO di no. almeno, non nel caso particolare di postgres

 

In linea di massima, se un utente non ha bisogno di una shell (ad esempio quando il processo viene lanciato come root e cambia proprietario in esecuzione) il sistema la pone a false.

Se per un utente "di sistema" viene impostata una shell questa dovrebbe servire perché il processo ne ha bisogno per funzionare, oppure per lanciare processi che necessitano della shell stessa (ad esempio potrebbe essere un task periodico di backup del database...)

----------

## randomaze

 *Cazzantonio wrote:*   

> OOPS!   
> 
> Scusate... ho postato senza cercare   
> 
> Mea culpa!

 

Faccio il merge dei topic  :Wink: 

----------

## Cazzantonio

beh pace... lascerò tutto com'è

Il fatto è che non mi piace che ci siano utenti con una shell (anche se sono senza password)... mi sembra un po' insicuro

Forse però è paranoia   :Very Happy: 

----------

