Hola!

Recientemente me he interesado en aprender a "fortalecer" sistemas GNU/Linux contra ataques diversos.

Al ejecutar el comando "top" en una maquina con Slackware 10.1 y que legitimamente tiene solamente 2 usuarios, he visto como "root" inicia el servidor Apache (httpd); sin embargo, me extra;a que unas cuantas lineas mas abajo aparece un ¿usuario? llamado "nobody" que ejecuta tambien a Apache.

Nunca se ha creado un usuario denominado "nobody". ¿Por qué aparece? ¿Es normal? ¿Representa un síntoma de intrusión?

De ser normal, me tranquilizaría. En caso contrario... ¿podéis guiarme para eliminarlo?

Agradeceré vuestra colaboración.

Cordialmente,



GatoLinux.

nobody es un usuario "de sistema" con muy pocos privilegios que se usa entre otras cosas para lanzar servicios propensos a sufrir ataques.

De mi debian sarge haciendo un cat a /etc/passwd:



Se ve que ese usuario tiene un id muy alto no tiene home y el shell es /bin/sh.

A mi por ejemplo me ejecuta el demonio no-ip para actualizar mi dominio.

En debian por ejemplo apache lo ejecuta el user www-data.

Gracias Mario!


Que interesante... Nunca antes me habia percatado de la presencia de "nobody".

De tu respuesta, me surge una pregunta: Por que debe ser "nobody" quien lanza esos servicios propensos a sufrir ataques, como dijiste? Por que no puede ser otro usuario? Acaso es para proseguir "anonimamente" la labor de root -segun la descripcion del especifico caso que mencione-?

Por cierto, no he logrado encontrar informacion "tecnica" acerca de "nobody". En Google lo que hasta ahora he hayado son casos especificos, tambien, donde interviene ese usuario. Pregunta abierta a todo el publico: Podrian ayudarme a encontrar datos "tecnicos" sobre "nobody"? Voy a continuar buscando, en todo caso; sin embargo, vuestra ayuda siempre sera bien recibida.