[Debian] User not allowed to execute /usr/sbin/chroot - Linux en overige clients

zaterdag 13 mei 2006 11:14

Acties:

Topicstarter

Ik ben onlangs begonnen mezelf te verdiepen in de chroot mogelijkheden. Ik ben me ervan bewust dat de gebruikte methode geen veilige oplossing biedt. Echter is dit mijn eerste stap in het gebruik en begrijpen van chroot en zal ik dit ook niet in een heuse omgeving gaan toepassen.

Ik heb een VMware installatie van Debian Sarge waar ik handmatig een nieuwe chroot omgeving in aan wil maken. Nou zijn hier meer dan genoeg tutorials over te vinden welke allemaal dezelfde basis geven:
Anti-online, Gentoo-wiki, TJW.org.

Nou heb ik deze tutorials toch echt op de voet gevolgt. Nog niet alle libs zijn aanwezig voor de tools (bash su cp ln ls zouden werkend moeten zijn).

# ls -la /bin/chroot-shell

code:

1	-rwxrwxrwx 1 root root 500 2006-05-13 02:20 /bin/chroot-shell

# cat /etc/sudoers

code:

1
2
3

# User privilege specification
root            ALL=(ALL) ALL
spenkman        ALL= NOPASSWD: /usr/sbin/chroot /home/test /bin/su - spenkman*

# ls -la /bin/su

code:

1	-rwsr-xr-x 1 root root 23416 2005-05-18 08:33 /bin/su

# ls -la /home/test/bin/su

code:

1	-rwsr-xr-x 1 root staff 23416 2006-05-13 02:12 /home/test/bin/su

Gezien de ingestelde rechten zou ik toch in staat moeten zijn om het chroot commando te gebruiken en in in de chroot geplaatst te worden. Echter is dit niet het geval, de melding die ik krijg als ik probeer in te loggen:

# ssh -l spenkman localhost

code:

Password:
Linux debian-26-chrooted 2.6.8-2-386 #1 Tue Aug 16 12:46:35 UTC 2005 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.

Last login: Sat May 13 02:20:43 2006 from localhost.localdomain
Sorry, user spenkman is not allowed to execute '/usr/sbin/chroot /home/spenkman /bin/su - spenkman' as root on localhost.localdomain.
Connection to localhost closed.

Zover mijn brein in de zaken mee kan komen zie ik niet waarom ik dat commando niet mag uitvoeren, de sudoers file is keurig geedit via visudo en is in mijn ogen verder correct? Wie heeft een een zaklampje voor mij zodat ik hier verder mee kan?

Eve char: Warock <TEST>

zaterdag 13 mei 2006 11:27

Acties:

Z-Dragon

En als je /bin/chroot-shell eens toevoegt aan het sudoers bestand? Dat bestand moet immers ook uitgevoerd worden.

^ Wat hij zegt.

zaterdag 13 mei 2006 11:32

Acties:

Paul

Die melding klopt gewoon, je probeert het met /home/spenkman uit te voeren terwijl het met /home/test in /etc/sudoers staat

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 13 mei 2006 11:46

Acties:

sPENKMAN

Topicstarter

Paul Nieuwkamp schreef op zaterdag 13 mei 2006 @ 11:32:
Die melding klopt gewoon, je probeert het met /home/spenkman uit te voeren terwijl het met /home/test in /etc/sudoers staat

Je hebt gelijk, stomme fout

Als ik in /bin/chroot-shell het volgende dan neerzet:

code:

#!/bin/bash

# chrootshell spawns chroot shell
#
# (c) 2003-2005 Anne Jan Brouwer
#             GNU GPL

if [ "$1" = "-c" ]
then
       i=0
       PARAMETERS=""
       for parameter in $*
       do
               if [ $i -gt 0 ]
               then
                       PARAMETERS="$PARAMETERS $parameter"
               fi
               let i++
       done
       sudo /usr/sbin/chroot /home/test /bin/su - $USER -c "$PARAMETERS"
else
       sudo /usr/sbin/chroot /home/test /bin/su - $USER
fi

en ik probeer vervolgens in te loggen:

code:

Password:
Linux debian-26-chrooted 2.6.8-2-386 #1 Tue Aug 16 12:46:35 UTC 2005 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.

Last login: Sat May 13 02:55:22 2006 from localhost.localdomain
Sorry.
Connection to localhost closed.

In /var/log/auth.log komt het volgende naar voren bij een login poging:

code:

May 13 03:04:14 localhost sshd[2011]: Accepted keyboard-interactive/pam for spenkman from ::ffff:127.0.0.1 port 32778 ssh2
May 13 03:04:14 localhost sshd[2014]: (pam_unix) session opened for user spenkman by (uid=0)
May 13 03:04:14 localhost sudo: spenkman : TTY=pts/2 ; PWD=/tmp ; USER=root ; COMMAND=/usr/sbin/chroot /home/test /bin/su - spenkman
May 13 03:04:14 localhost sshd[2014]: (pam_unix) session closed for user spenkman

[ Voor 22% gewijzigd door sPENKMAN op 13-05-2006 11:56 ]

Eve char: Warock <TEST>

zondag 14 mei 2006 06:52

Acties:

Paul

Wat voor meldingen krij je als je die sudo-regels uitvoert op een normale shell?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zondag 14 mei 2006 11:19

Acties:

sPENKMAN

Topicstarter

Paul Nieuwkamp schreef op zondag 14 mei 2006 @ 06:52:
Wat voor meldingen krij je als je die sudo-regels uitvoert op een normale shell?

sudo /usr/sbin/chroot /home/test /bin/su - spenkman

code:

Sorry.

In auth.log:

code:

1	May 13 21:23:15 localhost sudo: spenkman : TTY=pts/2 ; PWD=/tmp ; USER=root ; COMMAND=/usr/sbin/chroot /home/test /bin/su - spenkman

Zal de datum overigens even goed zetten

[ Voor 30% gewijzigd door sPENKMAN op 14-05-2006 11:22 ]

Eve char: Warock <TEST>