查看 /var/secure 发现自动创建用户是什么情况？

这段时间同学的服务器被爆破两次了(我也挺好奇如何被爆破的，日志检查了发现都被人上了公钥了)，就开始检查下自己的 sshd 的日志，发现里面有一些奇怪的操作

May 29 17:11:51 xxxxx groupadd[31936]: group added to /etc/group: name=mysql, GID=27
May 29 17:11:51 xxxxx groupadd[31936]: group added to /etc/gshadow: name=mysql
May 29 17:11:51 xxxxx groupadd[31936]: new group: name=mysql, GID=27
May 29 17:11:51 xxxxx useradd[31940]: new user: name=mysql, UID=27, GID=27, home=/var/lib/mysql, shell=/sbin/nologin

类似这种操作还有几个，比如 cgred、dockerroot、redis，除了 cgred 以外都是我自己安装的服务，我很好奇这些东西创建有什么意义？

有一个猜测就是 yum 安装的软件包创建的，问题为什么这样做?

wevsty

2017-05-31 22:31:11 +08:00

楼主的日志里面加了一个 mysql 的用户和 mysql 的组
目的是为了 mysql 运行的时候使用 mysql 的权限，这样能在不影响使用的情况下只给最小的权限。
shell=/sbin/nologin 就说明了，这个用户是被限制登陆的。

wly19960911

2017-05-31 22:56:31 +08:00

@hjc4869
因为并不了解相关的账号问题，没有关注过。

加上有另外一个 IP 也登录了和有人暴力测试这种账户，所以很奇怪，经检测貌似那个 IP 就是自己的 IP

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/365049

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.