Forum Debian Users Gang

noSound · 2014-06-03 21:08:54

Witajcie :)

W chwili obecnej siedzę lekko zrozpaczony obok mojego "testowego serwerka" na Debianie...w nadziei że uda mi się jeszcze dzisiaj rozwiązać ów problem i dojść do tego jak to mogło się stać :/

Z racji takiej, że są to moje początki w administrowaniu na Linuxie, pragnę bardzo szybko pochłaniać cenne informacje. Wspieram się książką + tym, co znajdę w Internecie.

Dosyć biadolenia...przechodzę zatem do konkretów.
Zapragnąłem stworzyć "grupę su" i w tym celu postąpiłem kolejno:
1. (po zalogowaniu się jako su) uruchomiłem edytor (vi) celem zmodyfikowania pliku /etc/group
2. dodałem na samym dole linijkę: wheel:x:10:root,tomek - gdzie "tomek" to oczywiście konto, które w stosunku do innych, miałoby możliwość logowania się a root'a
3. na sam koniec użyłem:
chgrp wheel /bin/su
chmod o-rwx /bin/su

efekt tego jest taki, że teraz nie po wpisaniu "su" i wpisaniu (prawidłowego!) hasła...nie mogę dostać się na root'a...ani na drugie konto zwykłego usera (np. maciej)

Ma ktoś jakiś pomysł? Lub chociaż mała podpowiedź :(

ArnVaker · 2014-06-03 21:11:24

Zaloguj się z tekstowej konsoli i cofnij zmiany.

noSound · 2014-06-03 21:46:06

Dziękuję za poradę ale jednak to nie koniec problemów :(

Przepraszam za "lamerskie" pytanie...ale jakim prawem mogłem bez problemu zalogować się jako root w wersji tekstowej? (Czego nie mogłem zrobić w terminalu po uruchomieniu Gnome)

1. Cofnąłem zmiany usuwając ostatni wpis z /etc/group
2. Dodałem właściciela grupy jako root (sugerując się tym, że w "/bin" właścicielem grupy plików jest właśnie root) - chgrp root /bin/su
3. Poprawiłem również uprawnienia do pliku - chmod 755 /bin/su

Wszystko wygląda tak jak przed zmianami ale (czy to w terminalu/ czy w wersji tekstowej) po wpisaniu "su" przez usera i hasła...pojawia się tylko informacja o niepowodzeniu uwierzytelnienia :/

Ostatnio edytowany przez noSound (2014-06-03 22:18:59)

ArnVaker · 2014-06-03 22:18:03

[quote=noSound]ale jakim prawem mogłem bez problemu zalogować się jako root w wersji tekstowej?[/quote]
Bo tam się nie używa su, tylko getty/login.

[quote=noSound]Poprawiłem również uprawnienia do pliku - chmod 755 /bin/su[/quote]
Domyślnie jest:

Kod:

-rwsr-xr-x 1 root root 36816 May 25  2012 /bin/su

Zatem:

Kod:

chmod 4755 /bin/su

W razie wątpliwości możesz przeinstalować pakiet, w tym przypadku:

Kod:

aptitude reinstall login

A właśnie, uwaga na przyszłość: takie zmiany uprawnień znikną po aktualizacji danego pakietu.

noSound · 2014-06-03 22:19:05

[b]Ok udało mi się[/b].
Napiszę mimo wszystko dla potomnych...bo tak jak i Wam, zależy mi na udzielaniu pomocy (w miarę możliwości).
A więc...
W moim przypadku [i]chmod o-rwx /bin/su[/i] zdjął atrybuty SUID i SGID. Do prawidłowej pracy su wymagane jest ustawienie u niego bitu SUID.
Zatem zmiana flagi na [i]-rws--x--x[/i] uratowało sytuację - [i]chmod 4711 /bin/su[/i]
Człowiek całe życie się uczy :)

Chyba napisałem minuta przed Tobą [b]ArnVaker[/b] :)
Dokładnie...zwaliłem sprawę z atrybutami, serdeczne dzięki za rady.

W każdym bądź razie nie wiem dlaczego tak się stało...w momencie zdefiniowania (.etc/group) nowej grupy "wheel" i wycięciu uprawnień, zablokowałem sobie dostęp do su...a miało tylko działaś na danym użytkowniku.

Ostatnio edytowany przez noSound (2014-06-03 22:44:08)

ArnVaker · 2014-06-03 22:53:04

[quote=noSound]W każdym bądź razie nie wiem dlaczego tak się stało...w momencie zdefiniowania (.etc/group) nowej grupy "wheel" i wycięciu uprawnień, zablokowałem sobie dostęp do su...a miało tylko działaś na danym użytkowniku.[/quote]
W przypadku tego użytkownika nie tyle zablokowałeś dostęp do su, co su z niego nie działał. Bez SUID odpalony z tego użytkownika nie miał potrzebnych mu uprawnień roota.

Jacekalex · 2014-06-04 07:16:37

Ja tylko dodam, że [b]/etc/group[/b] się nie edytuje, do modyfikowania polityki grup systemowych jest [b]groupadd[/b], [b]groupmod[/b], [b]groupdel[/b] albo [b]gpasswd[/b].

Ostatnio edytowany przez Jacekalex (2014-06-04 07:17:16)

hello_world · 2014-06-04 08:27:56

E tam vipw, vigr

noSound · 2014-06-04 09:53:16

[quote=Jacekalex]Ja tylko dodam, że [b]/etc/group[/b] się nie edytuje, do modyfikowania polityki grup systemowych jest [b]groupadd[/b], [b]groupmod[/b], [b]groupdel[/b] albo [b]gpasswd[/b].[/quote]
Widocznie kiepski tutorial :)
http://jakilinux.org/administracja/bezpieczenstwo-i-linux-poradnik-mlodego-admina/

[quote=hello_world]E tam vipw, vigr[/quote]
Dzięki

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00101	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.136.18.218' WHERE u.id=1
0.00082	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.136.18.218', 1728257076)
0.00037	SELECT * FROM punbb_online WHERE logged<1728256776
0.00045	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25930 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00097	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25930 ORDER BY p.id LIMIT 0,25
0.00086	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25930
Total query time: 0.00467 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-06-03 21:08:54

noSound - Użytkownik

Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#2 2014-06-03 21:11:24

ArnVaker - Kapelusznik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#3 2014-06-03 21:46:06

noSound - Użytkownik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#4 2014-06-03 22:18:03

ArnVaker - Kapelusznik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

Kod:

Kod:

Kod:

#5 2014-06-03 22:19:05

noSound - Użytkownik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#6 2014-06-03 22:53:04

ArnVaker - Kapelusznik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#7 2014-06-04 07:16:37

Jacekalex - Podobno człowiek...;)

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#8 2014-06-04 08:27:56

hello_world - Członek DUG

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#9 2014-06-04 09:53:16

noSound - Użytkownik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

Stopka forum

Informacje debugowania