Forum Debian Users Gang

noSound · 2014-06-03 21:08:54

Witajcie :)

W chwili obecnej siedzę lekko zrozpaczony obok mojego "testowego serwerka" na Debianie...w nadziei że uda mi się jeszcze dzisiaj rozwiązać ów problem i dojść do tego jak to mogło się stać :/

Z racji takiej, że są to moje początki w administrowaniu na Linuxie, pragnę bardzo szybko pochłaniać cenne informacje. Wspieram się książką + tym, co znajdę w Internecie.

Dosyć biadolenia...przechodzę zatem do konkretów.
Zapragnąłem stworzyć "grupę su" i w tym celu postąpiłem kolejno:
1. (po zalogowaniu się jako su) uruchomiłem edytor (vi) celem zmodyfikowania pliku /etc/group
2. dodałem na samym dole linijkę: wheel:x:10:root,tomek - gdzie "tomek" to oczywiście konto, które w stosunku do innych, miałoby możliwość logowania się a root'a
3. na sam koniec użyłem:
chgrp wheel /bin/su
chmod o-rwx /bin/su

efekt tego jest taki, że teraz nie po wpisaniu "su" i wpisaniu (prawidłowego!) hasła...nie mogę dostać się na root'a...ani na drugie konto zwykłego usera (np. maciej)

Ma ktoś jakiś pomysł? Lub chociaż mała podpowiedź :(

ArnVaker · 2014-06-03 21:11:24

Zaloguj się z tekstowej konsoli i cofnij zmiany.

noSound · 2014-06-03 21:46:06

Dziękuję za poradę ale jednak to nie koniec problemów :(

Przepraszam za "lamerskie" pytanie...ale jakim prawem mogłem bez problemu zalogować się jako root w wersji tekstowej? (Czego nie mogłem zrobić w terminalu po uruchomieniu Gnome)

1. Cofnąłem zmiany usuwając ostatni wpis z /etc/group
2. Dodałem właściciela grupy jako root (sugerując się tym, że w "/bin" właścicielem grupy plików jest właśnie root) - chgrp root /bin/su
3. Poprawiłem również uprawnienia do pliku - chmod 755 /bin/su

Wszystko wygląda tak jak przed zmianami ale (czy to w terminalu/ czy w wersji tekstowej) po wpisaniu "su" przez usera i hasła...pojawia się tylko informacja o niepowodzeniu uwierzytelnienia :/

Ostatnio edytowany przez noSound (2014-06-03 22:18:59)

ArnVaker · 2014-06-03 22:18:03

noSound napisał(-a):
ale jakim prawem mogłem bez problemu zalogować się jako root w wersji tekstowej?

Bo tam się nie używa su, tylko getty/login.

noSound napisał(-a):
Poprawiłem również uprawnienia do pliku - chmod 755 /bin/su

Domyślnie jest:

Kod:

-rwsr-xr-x 1 root root 36816 May 25  2012 /bin/su

Zatem:

Kod:

chmod 4755 /bin/su

W razie wątpliwości możesz przeinstalować pakiet, w tym przypadku:

Kod:

aptitude reinstall login

A właśnie, uwaga na przyszłość: takie zmiany uprawnień znikną po aktualizacji danego pakietu.

noSound · 2014-06-03 22:19:05

Ok udało mi się.
Napiszę mimo wszystko dla potomnych...bo tak jak i Wam, zależy mi na udzielaniu pomocy (w miarę możliwości).
A więc...
W moim przypadku chmod o-rwx /bin/su zdjął atrybuty SUID i SGID. Do prawidłowej pracy su wymagane jest ustawienie u niego bitu SUID.
Zatem zmiana flagi na -rws--x--x uratowało sytuację - chmod 4711 /bin/su
Człowiek całe życie się uczy :)

Chyba napisałem minuta przed Tobą ArnVaker :)
Dokładnie...zwaliłem sprawę z atrybutami, serdeczne dzięki za rady.

W każdym bądź razie nie wiem dlaczego tak się stało...w momencie zdefiniowania (.etc/group) nowej grupy "wheel" i wycięciu uprawnień, zablokowałem sobie dostęp do su...a miało tylko działaś na danym użytkowniku.

Ostatnio edytowany przez noSound (2014-06-03 22:44:08)

ArnVaker · 2014-06-03 22:53:04

noSound napisał(-a):
W każdym bądź razie nie wiem dlaczego tak się stało...w momencie zdefiniowania (.etc/group) nowej grupy "wheel" i wycięciu uprawnień, zablokowałem sobie dostęp do su...a miało tylko działaś na danym użytkowniku.

W przypadku tego użytkownika nie tyle zablokowałeś dostęp do su, co su z niego nie działał. Bez SUID odpalony z tego użytkownika nie miał potrzebnych mu uprawnień roota.

Jacekalex · 2014-06-04 07:16:37

Ja tylko dodam, że /etc/group się nie edytuje, do modyfikowania polityki grup systemowych jest groupadd, groupmod, groupdel albo gpasswd.

Ostatnio edytowany przez Jacekalex (2014-06-04 07:17:16)

hello_world · 2014-06-04 08:27:56

E tam vipw, vigr

noSound · 2014-06-04 09:53:16

Jacekalex napisał(-a):
Ja tylko dodam, że /etc/group się nie edytuje, do modyfikowania polityki grup systemowych jest groupadd, groupmod, groupdel albo gpasswd.

Widocznie kiepski tutorial :)
http://jakilinux.org/administracja/bezpieczenstwo-i … odego-admina/

hello_world napisał(-a):
E tam vipw, vigr

Dzięki

Forum Debian Users Gang

Ogłoszenie

#1 2014-06-03 21:08:54

noSound - Użytkownik

Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#2 2014-06-03 21:11:24

ArnVaker - Kapelusznik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#3 2014-06-03 21:46:06

noSound - Użytkownik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#4 2014-06-03 22:18:03

ArnVaker - Kapelusznik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

noSound napisał(-a):

noSound napisał(-a):

Kod:

Kod:

Kod:

#5 2014-06-03 22:19:05

noSound - Użytkownik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#6 2014-06-03 22:53:04

ArnVaker - Kapelusznik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

noSound napisał(-a):

#7 2014-06-04 07:16:37

Jacekalex - Podobno człowiek...;)

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#8 2014-06-04 08:27:56

hello_world - Członek DUG

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

#9 2014-06-04 09:53:16

noSound - Użytkownik

Re: Zablokowany root - czyli jak przestałem się martwić i pokochałem group

Jacekalex napisał(-a):

hello_world napisał(-a):

Stopka forum