跳转至

0005-user-group-exist-主机/etc/group不存在


规则ID

  • 0005-user-group-exist

类别

  • system

级别

  • critical

兼容版本

  • Linux

说明

  • 监控主机/etc/group是否存在

扫描频率

  • 1 */5 * * *

理论基础

  • 在Linux 中 /etc/group文件中每个用户都有一个对应的记录行,它记录了这个用户的一些基本属性。系统管理员经常会接触到这个文件的修改以完成对用户的管理工作。/etc/group被删除会造成主机无法登录,属于恶意破坏。

风险项

  • 黑客渗透

  • 数据泄露

审计方法

  • 验证主机/etc/group是否存在。可以执行以下命令验证:
ls /etc/group

补救

  • 如果/etc/group被删除后未重启系统,可以执行以下命令补救:
    cp /etc/group
    /etc/group
    
    如果我们在删除文件后关闭了系统,打开的时候会发现进不去

    在GRUB引导的时候按e进入编辑模式,linux16那一行的ro 修改为rw rd.break

    ctrl+x执行

    进入单用户模式后修改根路径,将引子程序拷进来

    ```bash
    chroot /sysroot
    
    cp /etc/group
    

    /etc/group ```

    因为拷贝进来文件的安全上下文和当亲目录不匹配,那么我们需要关闭selinux

    ```bash
    vim /etc/sysconfig/selinux
    
    selinux = disabled
    ```
    

    两次exit退出现在的根并且重启主机,恢复正常

影响

默认值

参考文献

CIS 控制

文档评价

文档内容是否对您有帮助? ×