在安装了 MySQL 和 OpenLdap 后会分别有以下账号被自动添加:
- mysql:x:113:125:MySQL Server,,,:/var/lib/mysql:/bin/false
- openldap:x:118:135:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false
安装程序为什么要添加这些账号呢?(提高系统安全性,降低被恶意外部系统破换的程度)
- 主要是使用这些账号运行服务程序 MySQL, Openldap。 这样外部系统如果攻陷了这些服务程序(如缓冲区溢出),试图运行系统命令的时候,只有有限的权限(这些服务账号的系统权限)。
- 假若使用Root账号启动这些服务程序的话,那么恶意的外部系统,可能通过此服务程序获得Root权限,破坏整个系统。
其他:
这些服务程序创建的账户通常都是非登录账户,即不能利用这些账户登录系统。登录控制是通过设置账户的LoginShell来实现的。
/usr/sbin/nologin ;用户不能登录,会有提示信息,如 This account is currently not available.
/bin/false ; 用户不能登录,没有任何反馈信息,所以更加安全。