Toon posts:

su commando onbruikbaar gemaakt

Pagina: 1
Acties:

zondag 9 april 2006 15:22

Acties:
  • Xanthium
  • Registratie: September 2005
  • Laatst online: 25-07-2025

Xanthium

Topicstarter
Beste Tweakers,

Ik ben nog vrij nieuw met linux, ik heb sinds een tijdje een FC bakje draaien, die als web/fileserver dient. Nou wilde ik de server "hardenen" door oa. root login via ssh te blokkeren. Dit is gelukt, omdat er meerdere user accounts op de machine staan waarvan ik vind dat ze geen "su" hoeven te kunnen gebruiken wilde ik deze dus chownen/chmodden naar mijn normal user account zodat ik de enige ben die met een normal account zo root kan worden. Nou heb ik blijkbaar de verkeerde chmod gezet want de command is nu door de foute rechten onbruikbaar geworden, voor iedereen, als ik nu als root de machine wil bedienen kan dit alleen door direct fysiek op de server in te loggen. Dit is wat ik krijg als ik nu via ssh su wil aanspreken:


[jan@server ~]$ su
Password: <rootpassword word nu correct ingevoerd>
Error sending status request (Bewerking niet toegestaan)
Error sending status request (Bewerking niet toegestaan)
Error sending status request (Bewerking niet toegestaan)
Error sending status request (Bewerking niet toegestaan)
su: cannot set groups
Error sending status request (Bewerking niet toegestaan)
[jan@server ~]$

ik heb rondgespeurd op google maar word er echt niet wijzer uit. kan iemand me eventueel de originele chmod waardes aangeven zodat ik iig weer via ssh als root kan? :X bvd

zondag 9 april 2006 15:28

Acties:
  • Mr_gadget
  • Registratie: Juni 2004
  • Laatst online: 13:34

Mr_gadget

C8H10N4O2 powered

Ik heb toevallig gisteren per ongeluk ook zoiets gedaan, ik heb de hele etc directory ge'chmod waardoor ik niet meer kan sudo'en (su in ubuntu linux).

Hij geeft bij mij deze error: "sudo: /etc/sudoers is mode 0662, should be 0440" misschien heb daar iets aan maar waarschijnlijk moet je toch voor een reinstall gaan...
Dit is voor SSH maar omdat ik ook een Gnome heb geinstalleerd ga ik straks kijken of ik het wel kan wijzigen in Gnome zelf..

[ Voor 3% gewijzigd door Mr_gadget op 09-04-2006 15:29 ]

zondag 9 april 2006 15:36

Acties:
  • Xanthium
  • Registratie: September 2005
  • Laatst online: 25-07-2025

Xanthium

Topicstarter
Mr_gadget schreef op zondag 09 april 2006 @ 15:28:
Ik heb toevallig gisteren per ongeluk ook zoiets gedaan, ik heb de hele etc directory ge'chmod waardoor ik niet meer kan sudo'en (su in ubuntu linux).

Hij geeft bij mij deze error: "sudo: /etc/sudoers is mode 0662, should be 0440" misschien heb daar iets aan maar waarschijnlijk moet je toch voor een reinstall gaan...
Dit is voor SSH maar omdat ik ook een Gnome heb geinstalleerd ga ik straks kijken of ik het wel kan wijzigen in Gnome zelf..
hmm ik heb net gechmod naar 0440 en wil ook niet helpen, dan heb ik helemaal geen toegang meer tot de file. /bin/su chownen naar m'n normal user account en vervolgens een chmod 700 doen krijg ik weer hetzefde effect als in m'n startpost..

zondag 9 april 2006 15:38

Acties:
  • doctormetal
  • Registratie: Februari 2006
  • Laatst online: 22:53

doctormetal

De rechten op het su commando veranderen is, zoals je al gemerkt hebt, niet de manier.

Als root de volgende commando's uit om de boel weer te herstellen:
code:
1
2

chmod 4755 /bin/su
chown root.root /bin/su

kijk in /etc/pam.d/su. Zorg dat de onderstaande regel niet meer uitgecommentarieerd is:
code:
1

auth       required     /lib/security/$ISA/pam_wheel.so use_uid


Je kan dan met usermod de users die wel su mogen doen tovoegen aan de wheel groep:
code:
1

usermod -G wheel naam_van_user

zondag 9 april 2006 15:41

Acties:

Verwijderd

Je kunt eventueel ook een chroot jail maken. Dan kunnen ze uberhaupt niet bij alle bestanden, en kunnen ze ook geen schade aan het systeem toebrengen. Behalve bij een bug of exploit natuurlijk, maar dat hou je altijd.

dinsdag 11 april 2006 18:19

Acties:
  • Xanthium
  • Registratie: September 2005
  • Laatst online: 25-07-2025

Xanthium

Topicstarter
het is gelukt, alle gebruikers kunnen wel het SU commando uitvoeren, maar als het correcte root ww wordt ingevoerd dan kan er niet ingelogd worden. bedankt

dinsdag 11 april 2006 20:11

Acties:
  • Keeper of the Keys
  • Registratie: Augustus 2002
  • Laatst online: 14-01 12:20

Keeper of the Keys

Is er niet ook iets dat je kunt bepalen dat alleen de leden van groep xyz (meestal 'wheel' vraag me niet waarom) met su root kunnen worden?

edit:

* Keeper of the Keys slaat zich voor zijn slome kop
Ik zie nu pas dat er hierboven al over de wheel groep wordt gesproken heb er overheen gelezen.
Maar toch even een korte vraag, weet er iemand waarom die groep specifiek 'wheel' heet?

[ Voor 55% gewijzigd door Keeper of the Keys op 12-04-2006 00:08 ]

dinsdag 11 april 2006 23:20

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

dat staat toch standaard aan?

check anders (in gentoo dan) : /etc/security/access.conf

Zaram module kopen voor je glasvezelaansluiting?

zaterdag 15 april 2006 03:06

Acties:
  • teh_twisted
  • Registratie: Oktober 2005
  • Laatst online: 30-07-2025

teh_twisted

KeeperoftheKeys schreef op dinsdag 11 april 2006 @ 20:11:
Is er niet ook iets dat je kunt bepalen dat alleen de leden van groep xyz (meestal 'wheel' vraag me niet waarom) met su root kunnen worden?

edit:

* teh_twisted slaat zich voor zijn slome kop
Ik zie nu pas dat er hierboven al over de wheel groep wordt gesproken heb er overheen gelezen.
Maar toch even een korte vraag, weet er iemand waarom die groep specifiek 'wheel' heet?
ik denk vanwege het feit dat je van user switched... je draait zeg maar de rollen... iig dat denk ik ;)

Tyan S7025, 1x Xeon E5520, 32GB DDR3-1333 ECC/REG, GTX275 896MB, 2x Samsung SM 2243SN, Logitech Perf MX. Laptop: MBP 10,1/6,2. Cams: Canon EOS600D+Tamron AF18-200, Sony W350. Gadgets: iPad 64GB 3G, iPhone 5 64GB, PS1-3. Auto: W211 E220CDI

zaterdag 15 april 2006 03:52

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

teh_twisted schreef op zaterdag 15 april 2006 @ 03:06:
[...]


ik denk vanwege het feit dat je van user switched... je draait zeg maar de rollen... iig dat denk ik ;)
Neh. http://en.wikipedia.org/wiki/Wheel_war

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 15 april 2006 08:38

Acties:
  • deepbass909
  • Registratie: April 2001
  • Laatst online: 22:27

deepbass909

[☼☼] [:::][:::] [☼☼]

Zoals hier boven al iets is aan gestipt, maar niet echt duidelijk aangegeven wordt.
De WHEEL groep is speciaal voor mensen die su-rechten mogen krijgen. Standaard heeft deze groep maar 1 gebruiker, namelijk root. Je zou jezelf eventueel toe kunnen voegen.
Dit is al zo veilig, dat je echt niet met de permissies van su hoeft te gaan stoeien (in princiepe doe je dan ook nog eens hetzelfde, alleen ga je wel erg afwijken van hetgene dat softwaremakers verwachten.)

Waarschuwing, opperprutser aan het werk... en als je een opmerking van mij niet snapt, klik dan hier

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq