Вопросы по cat /etc/passwd
 

Здравствуйте.
У меня ноутбук с Lubuntu 14.04 со всеми обновлениями.
Прочитал эту статью : http://losst.ru/kak-posmotret-spisok...telej-v-ubuntu
Выполнил у себя cat /etc/passwd
Результат: сначала у меня все как на скриншоте на сайте,а далее:

gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:106::/var/run/dbus:/bin/false
usbmux:x:103:46:usbmux daemon,,,:/home/usbmux:/bin/false
dnsmasq:x:104:65534:dnsmasq,,,:/var/lib/misc:/bin/false
ntp:x:105:110::/home/ntp:/bin/false
whoopsie:x:106:114::/nonexistent:/bin/false
lightdm:x:107:115:Light Display Manager:/var/lib/lightdm:/bin/false
vik:x:1000:1000:vik,,,:/home/vik:/bin/bash
rtkit:x:109:122:RealtimeKit,,,:/proc:/bin/false
pulse:x:108:120:PulseAudio daemon,,,:/var/run/pulse:/bin/false
clamav:x:110:124::/var/lib/clamav:/bin/false
festival:x:111:29::/home/festival:/bin/false
avahi:x:112:125:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
colord:x:113:126:colord colour management daemon,,,:/var/lib/colord:/bin/false
hplip:x:114:7:HPLIP system user,,,:/var/run/hplip:/bin/false
saned:x:115:127::/home/saned:/bin/false

Вопросы: 1.Есть ли зарегистрированные пользователи кроме root и vik ?
2.Что это значит nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin ? Не "чужак" ли это зарегистрировался?
3.Программа festival удалена, а festival:x:111:29::/home/festival:/bin/false осталось. Надо ли удалять и как ?
4.Есть еще что-то подозрительное?

Параноя детектед?
Или у вас сервер?
А вы меньше читайте всякого в сети и будет спокойнее.
И как минимум выполняйте команды когда чётко понимаете что и для чего делаете.
А то вследующий раз глядишь вам попадётся в сети что то типа "сделайте эрэм эрэф и посмотрите что будет".
А что бы ещё и спалось спокойнее то для десктопа, достаточно не ставить левые пакеты неизвестного происхождения.
Пользоваться родными репозиториями Убунты. Как вариант репозитории с Launchpad.
Настроить файрволл.
включит файрвол и будет запускать его при запуске системы.
запретит все входящие соединения
покажет текущий статус и правила для файрвола.
Далее можно спокойно спать.
А вы я ещё смотрю и антивирь зачем то поставили.

Она вам мешает как то своим наличием?
В /home - хранятся пользовательские данные и настройки программ. Не нужно - удаляйте.
Тут видней только вам, есть ли у вас что то подозрительное.

А вообще, рекомендуется почитать http://help.ubuntu.ru/wiki/%D0%B3%D0...BD%D0%B0%D1%8F
https://help.ubuntu.com/community/CommunityHelpWiki

После перехода на Linux пробовал разные программы,подбирал под свои требования (и еще некоторые не работали так как надо). Поэтому не уверен в том,что нет "вредителей". У меня не было учителя,чтобы все сделал за меня или опекал меня каждый день.Так что не надо...

Файервол включен,только: входящие=отклонить, исходящие=разрешить.

В /home папка festival удалена 3 недели назад.

Антивирус установил,но не пользуюсь. Планировал сканировать раз в год,но не делал еще.

Их наверное ни у кого не было, учителей.
А в целом я сказал уже что вопрос вашей безопасности только в ваших руках. Если не ставили явно левых пакетов неизвестно откуда - то и беспокоиться не о чем, тем более теперь
А для всего остального есть Ланчпад. При добавлении репозитория с которого автоматически добавляется цифровая подпись.
Но и опять же , вы можете создавать и собственные правила для файрвола, и запретить соединения вообще по каким либо портам, даже исходящие. Но это я думаю - лишнее.
От ClamAV у вас после сканирования как бы вопросов ещё больше не возникло. )
И в целом этого не требуется.
В Линукс другие методы выявления зловредов . На вскидку rkhunter и chkrootkit.
А в общем в Линукс это не в Виндовс, где что то там самозапускается. Здесь как минимум требуется участие пользователя.
Я вам не зря привёл ссылки для прочтения. И ответы на вопросы которые вас беспокоят вы там найдёте.
И надо уже погуглить на предмет Безопасность в Линукс.

Спасибо за советы.

Посоветуйте,пожалуйста,1-2 лучших программы для выявления зловредов (иногда пользуюсь интернет-банкингом).

Есть - пользователи системных служб, которые создаются для запуска служб в выделенном окружении с предоставлением доступа только к файлам настроек данных служб.
Эти пользователи используют "командную строку" /usr/sbin/nologin или /bin/false , которые не позволят гипотетическому хакеру вводить никакие команды

Это гораздо безопаснее, чем запуск всего подряд "под рутом"



Удаление программы не выполняет удаление соответствующего пользователя и группу, потому что может остаться каталог с настройками программы. И если удалить пользователя, тогда этот каталог будет иметь неизвестные идентификаторы безопасности (UID и GID), и при повторной установке может возникнуть ошибка доступа к этому каталогу из-за того, что новый пользователь будет иметь другой UID.
Если вы удалили каталог с настройками и более не собираетесь использовать данную программу, пользователя нужно удалить вручную.

El Scorpio, спасибо за подробное объяснение.
Значит если в строке последнее значение(оболочка) /usr/sbin/nologin или /bin/false, то все нормально.

У меня удалены программы festival и clamav. Очень прошу научить вручную удалить этих пользователей.
В домашней папке кажется ихних файлов уже нет. А вот папки /var/lib/clamav , /var/log/clamav, /etc/clamav есть, хотя не должно быть. Удалить их вручную? Командой?

userdel user - удаляет пользователя user из системы

Значит мне надо:
userdel festival
userdel clamav
Правильно? Больше ничего не надо?

Можешь еще осиротевшую группу удалить в /etc/group

Переспрошу,так как этого еще не делал.
Сначала команды userdel festival , userdel clamav . Наверно с sudo надо.
Потом открываю текстовый файл group, который находится в /etc и вручную удаляю строки с clamav и festival.
Правильно?

#man deluser
man delgroup

Выходит,что надо
sudo deluser festival, sudo deluser clamav. Да?

Может лучше sudo deluser --remove-all-files clamav ,в корневом разделе папки остались этой программы? Или их лучше вручную удалить?

Наверно,последний вопрос. Если удалить пользователя,а останутся папки от этой удаленной программы (или какая то библиотека,притянутая как зависимость), какие проблемы тогда будут ?

Если удалить пользователя и группу, тогда его файлы будут иметь неизвестные идентификаторы безопасности (UID и GID).
В частности команда ls -l будет выводить номера UID и GID вместо имени пользователя и группы

При повторной установке система создаст нового пользователя и группу с другими номерами UID и GID.
После чего при формировании файлов настроек и/или запуске службы произойдёт ошибка доступа к этим файлам.
Для устранения этой ошибки потребуется вручную изменить владельца этих файлов командой sudo chown ПОЛЬЗОВАТЕЛЬ:ГРУППА -R /имя/файла/или/каталога

Нормально.

Удалённое подключение к графической оболочке по-умолчанию заблокировано.
Считается, что основная опасность - это удалённое подключение к текстовой консоли
А такое подключение после успешной авторизации запускает командную оболочку, указанную в /etc/password

Программа /bin/false просто завершает работу с кодом 1
Программа /usr/sbin/nologin завершает работу с кодом 1 и сообщением This account is currently not available.

Тогда может лучше sudo deluser --remove-all-files clamav ?
Не будет проблем после такой команды?