Ich spiele mit Tiger-Sicherheitsaudits auf meiner CentOS-Box herum und stelle sicher, dass der Server onlinefähig ist, zumindest so gut wie möglich.
Mir ist eine Warnung aufgefallen, dass der Benutzer als Home-Verzeichnis nobodyverwendet wird /. Ich kann einfach nicht herausfinden, in welchem Verzeichnis es sozusagen „leben“ soll. Wo soll ich diesen Kerl also hinlegen? Und wie wäre es, wenn ncsdwir jetzt dabei wären?
Ich denke, die eigentlichen Fragen lauten: Was ist das nobodyund ncsdwofür? Welches Sicherheitsrisiko birgt es für diese Benutzer, Root als ihr Home-Verzeichnis festzulegen? Wo würden sich in einer optimalen Umgebung ihre Home-Verzeichnisse befinden?
Antwort1
[EDIT]: Ich habe die Frage falsch verstanden. Ich werde hier eine passendere Antwort schreiben.
Ich kenne Tiger Security nicht, aber ich stimme zu, dass der Benutzer niemand haben sollteNEINHome-Verzeichnis,NEINdirekt über jedes Unterverzeichnis und soll wirklich habenNEINShell überhaupt nicht (und führe niemals eine ordnungsgemäße Anmeldung durch).
Aber die tatsächlichen Einstellungen (in /etc/passwd) sind für verschiedene Linux-Distributionen und BSDs und *Unix unterschiedlich.
Ich habe es mit diesem Befehl überprüft:
$ grep nobody /etc/passwd
auf RedHat 5.2 (das ist dasselbe wie Centos) und ich finde:
nobody:x:99:99:Nobody:/:/sbin/nologin
also ist „/“ wahrscheinlich der Standard für RedHat/Centos.
Ich habe unter Ubuntu 10.04 nachgesehen:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
(und „/nonexistent“ existiert nicht)
und auf Mac OSX 10.4 Tiger (das ist ein BSD-Derivat):
nobody:*:-2:-2:Unprivileged User:/var/empty:/usr/bin/false
(und „/var/empty“ existiert und ist leer)
Ich vermute, dass Tiger Security die Standardeinstellung auf RedHat/CentOS nicht mag. Sie können diese Warnung wahrscheinlich ignorieren oder das Home der /etc/passwdEinstellung nobodyin ein leeres oder nicht vorhandenes Verzeichnis ändern, um den Tiger Security-Test zu bestehen.