为什么syslog和uml-net在/etc/passwd中有/home？

从古时候继承下来的，为了不破坏东西。在/etc/passwd中的每一行都需要一个家（请参见下面的添加）。而/etc/passwd是Linux系统的一部分，不是Debian/Ubuntu特有的功能。
在旧时代，syslog-ng相当常见，它使用/home/syslog/为每种数据源类型创建一个目录。
在切换到systemd之前，使用rsyslog将日志存储在/var/log/syslog中更为常见。而systemd使用/run/systemd/journal/syslog。

---

请参阅该命令的手册页。

/etc/passwd contains one line for each user account, 
with seven fields delimited by colons (“:”). These fields are:

   ·   login name
   ·   optional encrypted password
   ·   numerical user ID
   ·   numerical group ID
   ·   user name or comment field
   ·   user home directory
   ·   optional user command interpreter

加密密码和用户命令解释器被明确指定为“可选项”。因此，我会假设其他项都是强制性的。

在我的情况下，用户可能是由恶意的加密挖矿脚本创建的，可以通过最后添加的用户来判断。

...
uml-net:x:114:118::/nonexistent:/bin/false

服务器可能被以下内容感染：https://security.stackexchange.com/questions/201263/a-process-called-watchbog-is-mining-crypto-currency-in-our-server-how-do-i-st?noredirect=1&lq=1

它还留下了一个SSH公钥登录的后门和各种修改过的cron挂钩。你最好重新安装带有最新更新的服务器，并对/etc/进行修订跟踪，以帮助您注意到差异 - 后者对我有所帮助。

一些文件具有用户组Debian-exim，因此很可能由于这个原因导致了该服务器的受损https://www.linuxtechnews.com/cve-2019-10149-debian-has-released-critical-security-update-for-exim/