finger命令主要用于查询Linux系统中特定用户的详细账户信息,如登录Shell、主目录、计划任务及邮件状态等,但在现代高安全标准的Linux发行版中,出于隐私保护考虑,该服务默认通常处于关闭状态。
在早期的Unix和Linux系统管理历史中,finger命令曾是系统管理员和开发者了解用户在线状态及基本配置的首选工具,它像是一个透明的用户档案柜,能让你快速看到谁在线、谁在忙、以及他们的个人资料,随着网络安全意识的提升,这种“透明化”带来的信息泄露风险日益凸显,虽然它不再作为日常运维的核心工具,但在特定的内网环境或遗留系统维护中,理解其工作原理依然具有实际意义。
finger命令的核心功能与工作原理
要理解finger,首先要明白它不仅仅是一个简单的查询指令,它背后依赖于一套完整的客户端-服务器架构,当你输入finger指令时,系统会尝试连接本机的finger守护进程(通常是in.fingerd),该进程会读取系统中的用户数据库文件,并将结果返回给终端。
查询用户基本资料
这是finger最基础也最直观的功能,通过指定用户名,你可以获取该用户在/etc/passwd文件中记录的静态信息,这些信息通常包括:
- 登录名(Login Name)
- 真实姓名(Real Name)
- 主目录路径(Home Directory)
- 登录Shell类型(Login Shell)
- 邮件状态(Mail Status)
在支持finger服务的系统中,执行finger username会返回类似如下的信息块,这些信息直接映射到系统底层的用户配置文件中,无需复杂的权限验证即可查看公开部分。
查看在线用户与活动状态
除了静态资料,finger还能提供动态的会话信息,当查询当前在线用户时,它会显示:
- 登录终端(TTY)
- 登录时间(Login Time)
- 空闲时间(Idle Time)
- 从何处登录(Remote Host)
这种功能在早期的多用户终端时代非常有用,管理员可以一眼看出哪些终端长时间空闲,从而判断是否有资源浪费或潜在的安全隐患。
为什么现代Linux默认禁用finger服务?
这是一个关乎安全架构演变的关键问题,业内专家指出,finger协议本身存在严重的安全缺陷,这导致它在21世纪初逐渐被主流操作系统弃用。
信息泄露风险
finger协议的设计初衷是“方便”,而非“安全”,它会返回大量敏感信息,包括:
- 系统内核版本
- 用户主目录的绝对路径
- 用户的计划任务(crontab)内容
- 用户邮件队列的详细列表
攻击者可以利用这些信息构建精准的攻击画像,知道某个用户的shell是bash,且主目录在/home/user,结合已知的内核漏洞,攻击者可以极大地缩小攻击面,据网络安全行业共识认为,信息泄露往往是高级持续性威胁(APT)攻击的第一步,而finger正是那个打开窗户的人。
协议本身的脆弱性
finger协议基于明文传输,没有加密机制,这意味着在网络中间节点,所有的查询请求和响应数据都可能被嗅探,早期的finger服务器实现存在缓冲区溢出漏洞,攻击者可以通过发送特制的超长字符串导致服务器崩溃,甚至执行任意代码。
如何在Linux中安装和配置finger服务?
尽管出于安全考虑默认禁用,但在某些内网测试环境或特定需求下,你可能仍需要启用它,以下以常见的Debian/Ubuntu和RHEL/CentOS系统为例,说明操作路径。
Debian/Ubuntu系统安装步骤
在基于Debian的系统上,finger服务通常包含在finger和fingerd两个包中。
- 更新软件源:
sudo apt-get update - 安装finger客户端和服务端:
sudo apt-get install finger fingerd - 启动服务:
现代系统通常使用systemd管理,你可以尝试启动服务:
sudo systemctl start fingerd - 设置开机自启:
sudo systemctl enable fingerd
RHEL/CentOS系统安装步骤
在Red Hat系发行版中,包名称可能略有不同,通常也是finger和finger-server。
- 安装软件包:
sudo yum install finger finger-server - 启动并启用服务:
sudo systemctl start fingerd
sudo systemctl enable fingerd
防火墙配置
如果服务器暴露在互联网上,务必配置防火墙规则,finger默认使用TCP 79端口。
- 对于iptables用户:
sudo iptables -A INPUT -p tcp --dport 79 -j ACCEPT - 对于firewalld用户:
sudo firewall-cmd --permanent --add-port=79/tcp
sudo firewall-cmd --reload
注意:在生产环境中,强烈建议不要开放此端口,如果必须使用,请限制源IP地址,仅允许受信任的内网IP访问。
finger命令的替代方案与最佳实践
既然finger已被淘汰,那么现代Linux用户该如何获取类似信息?答案是利用系统内置的标准命令,它们更安全、更灵活。
使用who和w命令
如果你只关心“谁在线”,who和w是更好的选择。
who:显示当前登录用户的基本信息。w:显示更详细的信息,包括用户正在执行的命令。
这两个命令直接读取/var/run/utmp文件,不涉及网络服务,因此没有远程攻击面。
使用getent或直接查看文件
如果你需要查询用户的静态资料(如Shell、主目录),可以使用:
getent passwd username:从名称服务切换库(NSS)获取用户信息,支持LDAP等后端。grep username /etc/passwd:直接查看本地用户数据库。
这种方法不仅安全,而且速度更快,因为它是本地文件读取,无需网络开销。
使用id和groups命令
对于权限相关的信息,id命令可以显示用户的UID、GID及所属组,groups命令显示用户所属的所有组,这些命令提供了finger所不具备的权限视图,且完全本地化。
常见疑问解答
finger命令在CentOS 7中如何开启?
在CentOS 7中,首先需要安装finger和finger-server包,安装后,使用systemctl start fingerd启动服务,由于CentOS 7默认使用iptables或firewalld,需确保TCP 79端口在防火墙中开放,但请注意,CentOS 7已接近生命周期结束,且出于安全最佳实践,不建议在生产环境中启用此服务。
finger命令能否查询远程Linux用户的详细信息?
可以,但前提是远程服务器必须运行finger守护进程,并且防火墙允许TCP 79端口的入站连接,格式为finger username@remote_host,由于大多数现代服务器默认关闭此服务,远程查询通常会失败,返回“Connection refused”或超时错误。
finger命令返回的邮件状态是什么意思?
finger返回的邮件状态(如Has mail或No mail)是基于检查用户邮箱文件(如/var/mail/username或/home/username/Maildir)是否存在未读邮件,这并不表示邮件内容的加密状态,仅表示是否有新邮件堆积,在现代分布式邮件系统中,这一功能已逐渐失去意义,因为邮件存储方式更加多样化。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/473077.html



