alguém invadiu um dos meus servidores usando a conta de usuário do postgres.
o que eu não sei é:
qual é a pasta inicial desse usuário?
onde estaria bash_history?
ubuntu
security
ssh
ubuntu-server
postgresql
RadiantHex
fonte
fonte
Respostas:
grep postgres /etc/passwdimprimirá o diretório inicial da conta do postgres.O bash_history estaria localizado na raiz do diretório inicial da conta do postgres, por exemplo
/home/postgres/.bash_history. Mas se alguém tiver habilidade suficiente para invadir seu servidor, não espere que o arquivo de histórico seja preciso ou até mais presente.Provavelmente, a conta do usuário pode navegar pelo sistema de arquivos, mas é claro que não é possível ler arquivos como / etc / shadow, a menos que o servidor seja enraizado usando alguma exploração. Ele também poderia ter instalado alguns daemons ouvindo conexões de rede ou, por exemplo, um irc-bot que se conecta ao IRC e recebe os comandos a partir daí.
fonte
getent passwd postgresnormalmente é melhor, uma vez que não basta olhar para cima/etc/passwd, mas todos os bancos de dados configurados (LDAP, NIS, Winbind)