usuarios innecesarios en /etc/passwd?

Hola de nuevo.

Como tengo el VDR conectado a internet para poder acceder desde fuera de casa con el VDRadmin, me gustaría eliminar todos los usuarios que no se necesiten del fichero /etc/passwd.

En hilos anteriores ya comentaba Posix que el usuario ftp no era necesario, y por seguridad se podía eliminar, pero al instalar la revisión 497 e ir a borrar ese usuario, he visto que hay otros que probablemente se puedan borrar también.

Son los siguientes:

r::0:0:root:/root:/bin/sh
bin1:1:bin:/bin:/bin/ash
daemon2:2:daemon:/sbin:/bin/ash
nobody::3:3:ftp:/:/bin/ash

¿Cuales puedo eliminar y cuales debo dejar?

Si hay que dejar alguno ¿sería bueno cambiar la contraseña de acceso de ese usuario para mejorar el nivel de seguridad?

Imagino que si el único puerto abierto del router es el del ssh, solo se podrá entrar como root desde fuera de casa y además únicamente con ssh ¿es correcto?.

Vaya, muchas preguntas para un solo post. Gracias de antemano.

Imagino que si el único puerto abierto del router es el del ssh,
solo se podrá entrar como root desde fuera de casa

No, no es correcto. Podras acceder con cualquiera de los usuarios que tengas en el sistema.

zjuanma escribió:

Imagino que si el único puerto abierto del router es el del ssh,
solo se podrá entrar como root desde fuera de casa

No, no es correcto. Podras acceder con cualquiera de los usuarios que tengas en el sistema.

Gracias zjuanma, por lo tanto, aunque cambie la contraseña de root, el resto de los usuarios son un coladero.

Bueno, entonces quedo a la espera para ver si alguien sabe si se pueden eliminar ya que, si el vdr trabaja internamente como root no tiene sentido dejar puertas abiertas innecesarias.

Yo he renombrado el usuario "r" y le he puesto contraseña en shadow. De esta forma tengo dos usuarios "root" con login y password distintos.
En algún sitio he leido que los usuarios que tienen una x como contraseña en passwd usan shadow para almacenarla.
De igual forma, los usuarios que tienen un * como contraseña en shadow no pueden iniciar sesión.

Lo que no recuerdo es si nobody lo he eliminado o nunca lo he tenido. Aunque puede que tenga algo que ver con el nuevo servidor ftp en pruebas.

Te mando la configuración de mis archivos por si te sirve de algo,

Código:

cat passwd
root:x:0:0:root:/root:/bin/sh
miusuario:x:0:0:root:/root:/bin/sh
bin:x:1:1:bin:/bin:/bin/ash
daemon:x:2:2:daemon:/sbin:/bin/ash
cat shadow
root:$$$chorizoinmenso$$$:12760:0:10000::::
bin:*:8902:0:10000::::
daemon:*:8902:0:10000::::
miusuario:$$$chorizoinmenso$$$:12760:0:10000::::
cat group
root:x:0:root
nobody:x:501:
nogroup:x:502:


Yo creo que los usuarios bin y daemon no sirven de nada y los grupos nobody y nogroup tampoco, pero me canse de quitar cosas.

El hilo lo he abierto, por que en revisiones anteriores no me sonaba tener el usuario nobody, y como el ftp lo eliminaba, quería confirmar que no iba a pasar nada por eliminar el nobody.

De hecho, si bin y daemon no se pueden conectar por que tienen * en shadow, esos ya no me preocupan, pero tendré que mirar como aparece nobody, si lleva el asterisco o no. Hoy estoy trabajando fuera, así que hasta la noche no lo podré comprobar.

De todos modos, puede que también pruebe a eliminarlos todos menos el root y ver que pasa. Supongo que como mucho me costará un factory reset.

jb escribió:De hecho, si bin y daemon no se pueden conectar por que tienen * en shadow, esos ya no me preocupan, pero tendré que mirar como aparece nobody, si lleva el asterisco o no.

nobody no tiene contraseña. Para que el asterisco en shadow funcione, es necesario tener una "x" en passwd.

Si al final lo pruebas, no olvides dejarnos el resultado.

Posix escribió:En algún sitio he leido que los usuarios que tienen una x como contraseña en passwd usan shadow para almacenarla.
De igual forma, los usuarios que tienen un * como contraseña en shadow no pueden iniciar sesión.

Puedo confirmar lo de la "x", pero lo del "*", según el manual funciona si está en el fichero "/etc/shadow" no en "/etc/passwd". Lo he mirado en mi PC con Debian y en internet:

http://unixhelp.ed.ac.uk/CGI/man-cgi?passwd+5
http://unixhelp.ed.ac.uk/CGI/man-cgi?shadow+5

Tal vez no sea cuestión de quitar usuarios, si no de que no puedan acceder al sistema (el "*" puede ser la solución).

pjllaneras escribió:Puedo confirmar lo de la "x", pero lo del "*", según el manual funciona si está en el fichero "/etc/shadow" no en "/etc/passwd".

A eso me refería. Para impedír el acceso al sistema, en passwd debe tener una "x" y además en shadow un "*".

Posix escribió:

pjllaneras escribió:Puedo confirmar lo de la "x", pero lo del "*", según el manual funciona si está en el fichero "/etc/shadow" no en "/etc/passwd".

A eso me refería. Para impedír el acceso al sistema, en passwd debe tener una "x" y además en shadow un "*".

Bueno, entonces la solución más sencilla puede ser esa ¿no?, siempre que aparezcan así en las instalaciones limpias tras el factory reset. Al menos lo veo más eficaz que tener que borrar todos los usuarios cada vez que se instala una nueva revisión.

De momento pondré "x" y "*" en todos los usuarios menos en root, que es el único al que le cambio la contraseña. (Siempre aprendiendo cosas nuevas )

De todos modos, intentaré eliminar los usuario en el equipo que tengo para pruebas, no vaya a ser que fastidie algo.

Un saludo,

Posix escribió:

pjllaneras escribió:Puedo confirmar lo de la "x", pero lo del "*", según el manual funciona si está en el fichero "/etc/shadow" no en "/etc/passwd".

A eso me refería. Para impedír el acceso al sistema, en passwd debe tener una "x" y además en shadow un "*".

Ups... tienes razón... ahora he visto que ya lo habías mencionado. La próxima vez intentaré leer los mensajes con más atención, y eso que hoy todavía no he tomado mi dosis de .

Mis disculpas Posix.

Posix escribió:A eso me refería. Para impedír el acceso al sistema, en passwd debe tener una "x" y además en shadow un "*".

Sólo un apunte tonto: con "*" el usuario no puede acceder con un password, pero puede seguir accediendo por otras vías (ssh+private key), para bloquear completamente el acceso creo que hay usar "!". En principio no es un problema en el Giga, pero si alguna vez queréis cerrar completamente el acceso a un usuario en una máquina Unix (o tenéis que romperos la cabeza para entender porqué no os funciona el acceso por ssh con clave privada) comprobad si tiene un "*" o un "!".

"*" en /etc/shadow = clave bloqueada
"!" en /etc/shadow = cuenta bloqueada

Vendrá bien saberlo. Gracias.

He borrado de /etc/passwd y /etc/shadow todos los usuarios menos el root. No he notado nada raro. Lo he hecho en el vdr de la habitación que no lo tengo por red ni conectado a internet, pero por lo que veo, el eliminar los usuarios extra, al menos de momento, no afecta al funcionamiento básico.

Un saludo,