User auflisten

T

Titan

Grünschnabel
Hallo zusammen,

ich bin ganz frisch im Umgang mit einem Unix server, hatte daher immer einen Admin dem ich vertraut habe.
Aus gegebenen Anlass möchte ich aber mal das Kennwort wechseln, würde aber auch gerne kontrollieren ob noch mehr Benutzer angelegt wurden.

Mit welchem Befehl kann ich herausfinden welche User auf dem Server angelegt wurden um über Putty auf den Root zuzugreifen
 
Hallo, danke, scheint zu gehen, nur wie lese ich das jetzt ?
Welcher davon ist nötig oder vom System ?

Folgendes gibt er mir aus.


root@10total10:/# less /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
Debian-exim:x:100:102::/var/spool/exim4:/bin/false
statd:x:101:65534::/var/lib/nfs:/bin/false
identd:x:102:65534::/var/run/identd:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
alias:x:2021:2020:Qmail User:/var/qmail/alias:/bin/false
qmaild:x:2020:2020:Qmail User:/var/qmail/:/bin/false
qmaill:x:2022:2020:Qmail User:/var/qmail/:/bin/false
qmailp:x:2023:2020:Qmail User:/var/qmail/:/bin/false
qmailq:x:2520:2520:Qmail User:/var/qmail/:/bin/false
qmailr:x:2521:2520:Qmail User:/var/qmail/:/bin/false
qmails:x:2522:2520:Qmail User:/var/qmail/:/bin/false
popuser:x:110:31:POP3 service user:/var/qmail/popuser:/bin/false
mysql:x:104:104:MySQL Server,,,:/var/lib/mysql:/bin/false
psaftp:x:2523:2521:anonftp psa user:/:/bin/false
psaadm:x:2524:2522:Admin Server:/:/bin/false
bind:x:105:105::/var/cache/bind:/bin/false
drweb:x:106:106::/var/drweb:/bin/false
postgres:x:107:108:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash
:
 
Bitte verwende fuer laengere Konsolenausgaben die CODE-Tags.
 
Hallo, danke, scheint zu gehen, nur wie lese ich das jetzt ?
Welcher davon ist nötig oder vom System ?

Den Aufbau wird beschrieben unter
Code:
man 5 passwd

Welche dafür für's System (noch) notwendig sind - kann Dir eigentlich nur der Admin sagen, da er weiß, was auf dem System alles am laufen ist.
 
mahltid,

Welcher davon ist nötig oder vom System ?

Grundsätzlich hat 'marce' absolut Recht. Aber ich lehne mich sicher nicht zu weit aus dem Fenster, wenn ich behaupt dass Du alle User mit UID<1000 als Systemaccounts betrachten kannst.

ein User mit Shellzugang sollte eigentl. auch ein /home-Dir besitzen.
ein: ls -al /home dann auch die User anzeigen.

Wenn der Jenige clever war (wenn er Dein admin war besteht ja immerhin die chance!) hat er einen User mit home-Dir irgendwo in deinem FS angelegt.

Dann ist diese Variante vielleicht wirkungsvoller.
Zunächst gibt es die Möglichkeit zu überprüfen ob der entsp. Nutzer in der /etc/sudoers drin steht (wenn sudo überhaupt installiert ist):

Dann kannst Du überprüfen ob irgendein user mit UID>=1000 eine Gruppenmitgliedschaft: 'root' oder 'admin' oder 'wheel' besitzt. Die sollte auch nicht jeder haben, vor ALLEM NICHT wenn sudo installiert ist.

Das nä. was tu tun kannst ist dem SSH-Daemon zu sagen dass er nur Verbindungen von einem bestimmten Host zulassen soll (sofern dieser eine statische IP hat, ist diese Variante besonders wirkungsvoll) ein Spoofen von PublicIPs ist eher unwahrscheinlich, und fkt. auch nur über eine vergiftete ARP-Tabelle des BGWs, wodurch wieder physik. Zugang zum System nötig wäre. Dann kannst Du auch HostKey-Authentifizierung einsetzen, sofern du die Schlüssel in regelm. Abständen erneuerst ein ziemlich sichere Sache.

Dann kannst Du im Verdachtsfall das messages-log, oder bei entspr. vorhandenem syslog-ng-Filter auch das eigentl. sshd_log durchsuchen nach solcher Art Einträgen:

Code:
Nov  5 18:58:44 lallande8210 sshd[17340]: Accepted keyboard-interactive/pam for [b]bigfish from 11.22.33.44 port 63682[/b] ssh2
Nov  5 18:58:44 lallande8210 sshd[17351]: pam_unix(sshd:session): session opened for [b]user bigfish[/b] by (uid=0)

Vielleicht hilf das ja ...

mfg
 
Zuletzt bearbeitet:

Ähnliche Themen

Samba 3.6.25 - OpenLDAP Setup

Keine Zugriff von Windows 10 auf Sambafreigaben

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

So, das wars nun endgültig mit Centos und Linux

Autostart von X mit google-chrome durch systemd

Zurück
Oben