1、检查用户账户:
首先,列出系统上所有的用户账户及其 UID。可以使用 cat /etc/passwd 命令查看 /etc/passwd 文件,该文件包含了系统上的用户账户信息,其中包括用户名、UID 等。
cat /etc/passwd
请注意查看 UID 是否有任何非预期的值为 0 的账户。
2、检查系统日志:
查看系统日志,特别是认证和授权相关的日志,以查找是否有记录显示用户账户被修改为 root 账户的 UID。可以使用命令 grep 来过滤关键字。
grep “uid=0” /var/log/auth.log
grep “uid=0” /var/log/messages
这些命令会列出系统日志中所有 UID 为 0 的记录,可能会显示任何涉及账户权限修改的活动。
3、检查系统账户:
检查系统账户是否存在异常。正常情况下,root 账户是唯一的,如果有其他账户 UID 被修改为 0,则可能存在异常情况。可以通过以下命令列出系统账户信息:
awk -F’:’ ‘$3 == 0 { print $1 }’ /etc/passwd
这个命令将列出 UID 为 0 的所有账户。
4/检查系统文件和目录权限:
检查系统文件和目录的权限,确保只有 root 用户或其他受信任的管理员用户有权限修改 /etc/passwd 等关键文件。
ls -l /etc/passwd
正常情况下,/etc/passwd 文件的权限应该为 -rw-r–r–,即只有 root 用户具有写权限。