Проблема использования su обычным пользователем

[lefont]

Проблема банальна, после входы в систему под обычным пользователем, вводим "su -" и получаем
su -: Permission denied
Пользователь при этом находится в группе wheel. Ради эксперимента создавал нового пользователя, проблема осталась на месте
Предистория:
Был интернет шлюз на FreeBSD 10.0 RELEASE i386, крутилось quagga, ppp, pf, все просто и не затейлево.
Подключался к серверу через ssh, сначала обычным пользователем, а затем получал права root через "su -". Решил туда же поставить и openvpn, всё настроил, протестил, работает. Кое что ещё подправил в конфигурации quagga. Где то в этот же uptime я обновлял порты, обновились mc, perl и ещё что то не значительное.
И дёрнул чёрт меня перезагрузить шлюз. После перезагрузки quagga не стартанула, маршрутов нет было... пришлось подключатся другим путём по ssh, но после подключения обычным пользователем, права root'а получить не смог, выдаёт ошибку "su -: Permission denied". Сходил к железке, зашел под рутом, разрешил подключение root'a через ssh. И только потом выяснил, quagga не может получить доступ к конфигурации zebra, хотя права есть (со злости влупил 777, не помогло, вернул обратно).
Сухой вывод: обычные пользователи превратились в "ничтожества", не могут да же запустить ee и vi. Соответственно quagga не может получить доступ к файлу конфигурации, т.к. работает из под пользователя quagga... А вот openvpn что странно продолжает работать прекрасно.

Что было после этого сделано:
пере собрано ядро без опции MAC, пере собран мир, обновлена система до 10.1 RELEASE. Проблема осталась на месте

Сносить систему и ставить сначала не особо хочется, а хочется разобраться то такого произошло/что я натворил. Помогите,а ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[iZEN]

Похоже, систему похачили. Установить систему с загрузочного образа заново на форматированный винчестер и настроить всё с нуля.

[Neus]

Securelevel менял?

[lefont]

Похоже, систему похачили. Установить систему с загрузочного образа заново на форматированный винчестер и настроить всё с нуля.

Возможно, только как.. снаружи всё pf'ом отсекалось, снутри.. очень мало вероятно, да и там просто не кому было. Но возможно всё, это первое что подумал. Интересно что сработало только после перезагрузки.

Securelevel менял?

Нет не менял. Сейчас почитаю что это и как сменить/
Значение kern.securelevel=-1. В rc.conf что либо касающегося значение securelevel не прописано.

Есть ещё идеи?

[guest]

Похоже, систему похачили. Установить систему с загрузочного образа заново на форматированный винчестер и настроить всё с нуля.

Возможно, только как.. снаружи всё pf'ом отсекалось, снутри.. очень мало вероятно, да и там просто не кому было. Но возможно всё, это первое что подумал. Интересно что сработало только после перезагрузки.

Securelevel менял?

Нет не менял. Сейчас почитаю что это и как сменить/
Значение kern.securelevel=-1. В rc.conf что либо касающегося значение securelevel не прописано.

Есть ещё идеи?

Варианты:

- изменить неправильные навыки работы с системой OS FreeBSD;
- установить 10.1 с нуля (Вы наворотили дел с freebsd-update и с обновлением установленного ПО, которое
не требуется в рамках branch, начиная с 9.0), с Вашим подходом - это лучший и наиболее быстрый вариант,
нежели разбираться;
- поменять FreeBSD на подходящий вариант Linux (лучший вариант, судя по подходу).

ps. предположение простое - неудачное обновление при использовании freebsd-update

[lefont]

Варианты:

- изменить неправильные навыки работы с системой OS FreeBSD;
- установить 10.1 с нуля (Вы наворотили дел с freebsd-update и с обновлением установленного ПО, которое
не требуется в рамках branch, начиная с 9.0), с Вашим подходом - это лучший и наиболее быстрый вариант,
нежели разбираться;
- поменять FreeBSD на подходящий вариант Linux (лучший вариант, судя по подходу).

ps. предположение простое - неудачное обновление при использовании freebsd-update

А в чем конкретно был не прав, не подскажите?
"freebsd-update" не использовалось до появлении проблемы. Для обновления портов использовалось "pkg update" и "pkg upgrade".

[guest]

Варианты:

- изменить неправильные навыки работы с системой OS FreeBSD;
- установить 10.1 с нуля (Вы наворотили дел с freebsd-update и с обновлением установленного ПО, которое
не требуется в рамках branch, начиная с 9.0), с Вашим подходом - это лучший и наиболее быстрый вариант,
нежели разбираться;
- поменять FreeBSD на подходящий вариант Linux (лучший вариант, судя по подходу).

ps. предположение простое - неудачное обновление при использовании freebsd-update

А в чем конкретно был не прав, не подскажите?
"freebsd-update" не использовалось до появлении проблемы. Для обновления портов использовалось "pkg update" и "pkg upgrade".

подскажу - как уже было сказано, ваша проблема в "подходе"

если ждете "ткнуть в конкретное место" - предоставьте лог всех действий.

[lefont]

подскажу - как уже было сказано, ваша проблема в "подходе"

если ждете "ткнуть в конкретное место" - предоставьте лог всех действий.

Логов то и не осталось, позатерлось уже, максимум, текущие логи , помогут?
То что до этого работал только с debian'ом, это да, и это первый опыт работы с FreeBSD, только понять не могу, в чем "подход" не верен...

P.S. пойму ответы да же в грубой форме

[Гость]

В /etc/pam.d/su кто-то повалялся?

[lefont]

В /etc/pam.d/su кто-то повалялся?

Содержимое файла su

Код: Выделить всё

# auth
auth            sufficient      pam_rootok.so           no_warn
auth            sufficient      pam_self.so             no_warn
auth            requisite       pam_group.so            no_warn group=wheel root_only fail_safe ruser
auth            include         system

# account
account         include         system

# session
session         required        pam_permit.so

Всё в порядке, как я понял.
Право на чтение есть у всех, на изменение только у самого root'a...

[Гость]

/usr/local/etc/pam.d/su ?
/var/log/auth.log ?

[lefont]

/usr/local/etc/pam.d/su ?
/var/log/auth.log ?

/usr/local/etc/pam.d/su - отсутствует директория "pam.d"

По поводу логов авторизации. Если судить по логам, то до момента перезагрузки (после которой и произошла история), авторизация происходила только с внутренней сети, да и после перезагрузки, только мои попытки авторизации так же с внутренней сети, т.е. ни чего такого нет.
Хотя до перезагрузки, я открыл снаружи 222 порт что бы по scp перекачать конфиги и не закрыл его, а спустя дня два, начались попытки подбора пользователя/пароля c ip адресов от куда то с америки, но безуспешные.

Глюк что ли какой то?:(

[FiL]

Проблема банальна, после входы в систему под обычным пользователем, вводим "su -" и получаем
su -: Permission denied

Я что-то не помню, а хоть что-то выдает permission denied кроме, собственно, недостатка прав доступа к файлам?
Я-бы все-таки проверял права на файлы (и на исполнение).

[lefont]

Проблема банальна, после входы в систему под обычным пользователем, вводим "su -" и получаем
su -: Permission denied

Я что-то не помню, а хоть что-то выдает permission denied кроме, собственно, недостатка прав доступа к файлам?
Я-бы все-таки проверял права на файлы (и на исполнение).

Доступа к каким файлам? Здесь же просто система сообщает о том, что доступ запрещен, или я не правильно что то понимаю?
Кстати от самого root'a, команда "su" работает...

[Neus]

Код: Выделить всё

root@:~ # ll /usr/bin/su
-r-sr-xr-x  1 root  wheel  17656 Nov 11 21:03 /usr/bin/su*

[lefont]

Код: Выделить всё

root@:~ # ll /usr/bin/su
-r-sr-xr-x  1 root  wheel  17656 Nov 11 21:03 /usr/bin/su*

аналогично, только размер поменьше(

Код: Выделить всё

root@InternetGW_2:~ # ll /usr/bin/su
-r-sr-xr-x  1 root  wheel  14776 Dec  6 14:43 /usr/bin/su*

[lefont]

Похоже или руткит или хакнули реально... Наверное реально проще поставить с ноля систему, предварительно затерев диск нолями, что бы наверняка ни чего не осталось.

[lefont]

Затираю диск нолями, и ставлю систему по новой.