[Demande d'info] Utilisation des utilisateurs systèmes par défaut

Kazuky · Octobre 27, 2022, 11:02am

Bonjour, je cherche à connaître l’utilité des utilisateurs systèmes existant par défaut dans Debian.

Voici une liste sur l’un de mes serveurs

daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin

J’ai trouvé une petite description en cherchant sur le web, mais rien de convaincant : https://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-19-sect-1.html

Mon but ici est de supprimer les utilisateurs dont mes serveurs n’ont pas besoin. Je suppose que l’utilisateur daemon sert à démarrer les daemon … Mais rien de certain ! Je veux pas faire de bêtise donc voici ma demande

Merci d’avance !

Kazuky

Clochette · Octobre 27, 2022, 11:30am

Aucun d’eux n’est inutile et donc à supprimer lors d’une installation fraîche, de plus ce sont des utilisateurs systèmes à moins d’une faille grave il est impossible des les exploités de façon malveillante.

Quel est ton but, hormis de connaître leur utilisation ?

Kazuky · Octobre 27, 2022, 12:24pm

D’accord merci,

L’objectif est de les supprimer car une personne qui est sensée délivrer notre certification de sécurité m’a demandé pourquoi ces utilisateurs sont encore présents …

Sputnik93 · Octobre 27, 2022, 12:42pm

Tu as aussi un peu d’explications sur certains comptes système par ici: SystemGroups - Debian Wiki

De ce que j’ai compris en faisant quelques grep ici et là, c’est le paquet base-passwd qui enregistre les comptes système et vérifie qu’ils sont bien présents dans les fichiers /etc/passwd et /etc/groups via ses scripts de preinst/postinst. Je suppose que certains autres paquets déclenchent quelque chose avec base-passwd lors de leur installation (par exemple l’installation d’apache2 entraîne la création du compte système www-data) mais c’est un peu flou, je n’ai pas trouvé d’explications claires là-dessus (mais j’avoue ne pas avoir cherché plus que ça).

On peut effectivement se demander pourquoi le compte irc est présent sur des systèmes qui n’ont pas vocation à héberger un serveur IRC par exemple, probablement pour de vieilles raisons historiques. Dans un but de sécurité très poussée, une installation de Debian classique (avec les utilitaires usuels) n’est peut-être pas le meilleur choix, et il faudrait alors privilégier une installation minimale sur laquelle installer le strict nécessaire. D’autres distributions peuvent même être plus indiquées que Debian dans cette optique de sécurité.

Clochette · Octobre 27, 2022, 2:51pm

Ma boite à la certif ISO qui va bien et ces utilisateurs n’ont pas été supprimé de nos serveurs … c’est quoi comme certif ? le gars il est fiable ?

Kazuky · Octobre 27, 2022, 3:46pm

On est dans un établissement bancaire, c’est donc le PCI DSS qu’il faut valider (certif Mastercard).

Oui le gars est fiable, il le valide depuis plusieurs années.

C’était juste une remarque et on a conclu avec mon collègues qu’il fallait sûrement supprimer ces users pour éviter des dangers futurs.

@Sputnik93 Merci je vais faire quelques recherches Je vous redis d’ici là

Zargos · Octobre 28, 2022, 9:37am

Il ne faut pas oublier non plus que tous ces tilisateur sont en /usr/sbin/nologin ou éventuellement en /bin/false

anon70622873 · Novembre 3, 2022, 8:51am

La plupart proviennent effectivement du paquet base-passwd qui fournit la doc idoine dans /usr/share/doc/base-passwd/, avec une explication pour chaque utilisateur.
Si certains sont là pour des raisons purement historique (sys, bin,…) les autres sont réellement utiles pour diverses applications ou services. Les supprimer risquerait d’entraîner des dysfonctionnements difficiles à comprendre si on installe par la suite un programme qui en avait besoin.

Je ne vois pas ce que leur suppression peu apporter au niveau sécurité. Comme cela a été mentionné ce sont des comptes qui ne peuvent pas ouvrir de session.

Je me demande si la question était destinée à vérifier la sécurité au niveau du système lui même ou de l’adminsys

Kazuky · Novembre 3, 2022, 8:29am

D’accord, le risque est faible alors …

Kazuky · Novembre 3, 2022, 8:52am

Hello, merci bcp, ça m’a bien aidé.

Par contre je vois que certains utilisateurs sont jugés obsolètes, je vais quand même éviter de les supprimer.

D’autres, comme « games », sont à supprimer je présume, au vu de leur utilité … Après est-ce vraiment utile de les supprimer ? Ne faudrait-il pas expliquer qu’ils ne sont pas dangereux mais surtout connus ?

Merci à tous en tout cas

Je me demande si la question était destinée à vérifier la sécurité au niveau du système lui même ou de l’adminsys

Probablement plus l’un que l’autre héhé