这是一个创建于 2519 天前的主题,其中的信息可能已经有所发展或是发生改变。
这段时间同学的服务器被爆破两次了(我也挺好奇如何被爆破的,日志检查了发现都被人上了公钥了),就开始检查下自己的 sshd 的日志,发现里面有一些奇怪的操作
May 29 17:11:51 xxxxx groupadd[31936]: group added to /etc/group: name=mysql, GID=27
May 29 17:11:51 xxxxx groupadd[31936]: group added to /etc/gshadow: name=mysql
May 29 17:11:51 xxxxx groupadd[31936]: new group: name=mysql, GID=27
May 29 17:11:51 xxxxx useradd[31940]: new user: name=mysql, UID=27, GID=27, home=/var/lib/mysql, shell=/sbin/nologin
类似这种操作还有几个,比如 cgred、dockerroot、redis, 除了 cgred 以外都是我自己安装的服务,我很好奇这些东西创建有什么意义?
有一个猜测就是 yum 安装的软件包创建的,问题为什么这样做?
 |
1
wevsty 2017-05-31 22:31:11 +08:00  1
楼主的日志里面加了一个 mysql 的用户和 mysql 的组
目的是为了 mysql 运行的时候使用 mysql 的权限,这样能在不影响使用的情况下只给最小的权限。 shell=/sbin/nologin 就说明了,这个用户是被限制登陆的。 |
 |
2
hjc4869 2017-05-31 22:52:47 +08:00
服务用自己的服务账号,挺常见的。
|
 |
3
wly19960911 OP |
Select Language