Проблема использования su обычным пользователем
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Проблема использования su обычным пользователем
Проблема банальна, после входы в систему под обычным пользователем, вводим "su -" и получаем
su -: Permission denied
Пользователь при этом находится в группе wheel. Ради эксперимента создавал нового пользователя, проблема осталась на месте
Предистория:
Был интернет шлюз на FreeBSD 10.0 RELEASE i386, крутилось quagga, ppp, pf, все просто и не затейлево.
Подключался к серверу через ssh, сначала обычным пользователем, а затем получал права root через "su -". Решил туда же поставить и openvpn, всё настроил, протестил, работает. Кое что ещё подправил в конфигурации quagga. Где то в этот же uptime я обновлял порты, обновились mc, perl и ещё что то не значительное.
И дёрнул чёрт меня перезагрузить шлюз. После перезагрузки quagga не стартанула, маршрутов нет было... пришлось подключатся другим путём по ssh, но после подключения обычным пользователем, права root'а получить не смог, выдаёт ошибку "su -: Permission denied". Сходил к железке, зашел под рутом, разрешил подключение root'a через ssh. И только потом выяснил, quagga не может получить доступ к конфигурации zebra, хотя права есть (со злости влупил 777, не помогло, вернул обратно).
Сухой вывод: обычные пользователи превратились в "ничтожества", не могут да же запустить ee и vi. Соответственно quagga не может получить доступ к файлу конфигурации, т.к. работает из под пользователя quagga... А вот openvpn что странно продолжает работать прекрасно.
Что было после этого сделано:
пере собрано ядро без опции MAC, пере собран мир, обновлена система до 10.1 RELEASE. Проблема осталась на месте
Сносить систему и ставить сначала не особо хочется, а хочется разобраться то такого произошло/что я натворил. Помогите,а ?
su -: Permission denied
Пользователь при этом находится в группе wheel. Ради эксперимента создавал нового пользователя, проблема осталась на месте
Предистория:
Был интернет шлюз на FreeBSD 10.0 RELEASE i386, крутилось quagga, ppp, pf, все просто и не затейлево.
Подключался к серверу через ssh, сначала обычным пользователем, а затем получал права root через "su -". Решил туда же поставить и openvpn, всё настроил, протестил, работает. Кое что ещё подправил в конфигурации quagga. Где то в этот же uptime я обновлял порты, обновились mc, perl и ещё что то не значительное.
И дёрнул чёрт меня перезагрузить шлюз. После перезагрузки quagga не стартанула, маршрутов нет было... пришлось подключатся другим путём по ssh, но после подключения обычным пользователем, права root'а получить не смог, выдаёт ошибку "su -: Permission denied". Сходил к железке, зашел под рутом, разрешил подключение root'a через ssh. И только потом выяснил, quagga не может получить доступ к конфигурации zebra, хотя права есть (со злости влупил 777, не помогло, вернул обратно).
Сухой вывод: обычные пользователи превратились в "ничтожества", не могут да же запустить ee и vi. Соответственно quagga не может получить доступ к файлу конфигурации, т.к. работает из под пользователя quagga... А вот openvpn что странно продолжает работать прекрасно.
Что было после этого сделано:
пере собрано ядро без опции MAC, пере собран мир, обновлена система до 10.1 RELEASE. Проблема осталась на месте
Сносить систему и ставить сначала не особо хочется, а хочется разобраться то такого произошло/что я натворил. Помогите,а ?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- iZEN
- ст. лейтенант
- Сообщения: 1095
- Зарегистрирован: 2007-09-15 16:45:26
- Контактная информация:
Re: Проблема использования su обычным пользователем
Похоже, систему похачили. Установить систему с загрузочного образа заново на форматированный винчестер и настроить всё с нуля.
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix
- Neus
- майор
- Сообщения: 2005
- Зарегистрирован: 2008-09-08 21:59:56
Re: Проблема использования su обычным пользователем
Securelevel менял?
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
Возможно, только как.. снаружи всё pf'ом отсекалось, снутри.. очень мало вероятно, да и там просто не кому было. Но возможно всё, это первое что подумал. Интересно что сработало только после перезагрузки.iZEN писал(а):Похоже, систему похачили. Установить систему с загрузочного образа заново на форматированный винчестер и настроить всё с нуля.
Нет не менял. Сейчас почитаю что это и как сменить/Neus писал(а):Securelevel менял?
Значение kern.securelevel=-1. В rc.conf что либо касающегося значение securelevel не прописано.
Есть ещё идеи?
-
- проходил мимо
Re: Проблема использования su обычным пользователем
Варианты:lefont писал(а):Возможно, только как.. снаружи всё pf'ом отсекалось, снутри.. очень мало вероятно, да и там просто не кому было. Но возможно всё, это первое что подумал. Интересно что сработало только после перезагрузки.iZEN писал(а):Похоже, систему похачили. Установить систему с загрузочного образа заново на форматированный винчестер и настроить всё с нуля.
Нет не менял. Сейчас почитаю что это и как сменить/Neus писал(а):Securelevel менял?
Значение kern.securelevel=-1. В rc.conf что либо касающегося значение securelevel не прописано.
Есть ещё идеи?
- изменить неправильные навыки работы с системой OS FreeBSD;
- установить 10.1 с нуля (Вы наворотили дел с freebsd-update и с обновлением установленного ПО, которое
не требуется в рамках branch, начиная с 9.0), с Вашим подходом - это лучший и наиболее быстрый вариант,
нежели разбираться;
- поменять FreeBSD на подходящий вариант Linux (лучший вариант, судя по подходу).
ps. предположение простое - неудачное обновление при использовании freebsd-update
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
А в чем конкретно был не прав, не подскажите?guest писал(а):Варианты:
- изменить неправильные навыки работы с системой OS FreeBSD;
- установить 10.1 с нуля (Вы наворотили дел с freebsd-update и с обновлением установленного ПО, которое
не требуется в рамках branch, начиная с 9.0), с Вашим подходом - это лучший и наиболее быстрый вариант,
нежели разбираться;
- поменять FreeBSD на подходящий вариант Linux (лучший вариант, судя по подходу).
ps. предположение простое - неудачное обновление при использовании freebsd-update
"freebsd-update" не использовалось до появлении проблемы. Для обновления портов использовалось "pkg update" и "pkg upgrade".
-
- проходил мимо
Re: Проблема использования su обычным пользователем
подскажу - как уже было сказано, ваша проблема в "подходе"lefont писал(а):А в чем конкретно был не прав, не подскажите?guest писал(а):Варианты:
- изменить неправильные навыки работы с системой OS FreeBSD;
- установить 10.1 с нуля (Вы наворотили дел с freebsd-update и с обновлением установленного ПО, которое
не требуется в рамках branch, начиная с 9.0), с Вашим подходом - это лучший и наиболее быстрый вариант,
нежели разбираться;
- поменять FreeBSD на подходящий вариант Linux (лучший вариант, судя по подходу).
ps. предположение простое - неудачное обновление при использовании freebsd-update
"freebsd-update" не использовалось до появлении проблемы. Для обновления портов использовалось "pkg update" и "pkg upgrade".
если ждете "ткнуть в конкретное место" - предоставьте лог всех действий.
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
Логов то и не осталось, позатерлось уже, максимум, текущие логи , помогут?guest писал(а): подскажу - как уже было сказано, ваша проблема в "подходе"
если ждете "ткнуть в конкретное место" - предоставьте лог всех действий.
То что до этого работал только с debian'ом, это да, и это первый опыт работы с FreeBSD, только понять не могу, в чем "подход" не верен...
P.S. пойму ответы да же в грубой форме
-
- проходил мимо
Re: Проблема использования su обычным пользователем
В /etc/pam.d/su кто-то повалялся?
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
Содержимое файла suГость писал(а):В /etc/pam.d/su кто-то повалялся?
Код: Выделить всё
# auth
auth sufficient pam_rootok.so no_warn
auth sufficient pam_self.so no_warn
auth requisite pam_group.so no_warn group=wheel root_only fail_safe ruser
auth include system
# account
account include system
# session
session required pam_permit.so
Право на чтение есть у всех, на изменение только у самого root'a...
-
- проходил мимо
Re: Проблема использования su обычным пользователем
/usr/local/etc/pam.d/su ?
/var/log/auth.log ?
/var/log/auth.log ?
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
/usr/local/etc/pam.d/su - отсутствует директория "pam.d"Гость писал(а):/usr/local/etc/pam.d/su ?
/var/log/auth.log ?
По поводу логов авторизации. Если судить по логам, то до момента перезагрузки (после которой и произошла история), авторизация происходила только с внутренней сети, да и после перезагрузки, только мои попытки авторизации так же с внутренней сети, т.е. ни чего такого нет.
Хотя до перезагрузки, я открыл снаружи 222 порт что бы по scp перекачать конфиги и не закрыл его, а спустя дня два, начались попытки подбора пользователя/пароля c ip адресов от куда то с америки, но безуспешные.
Глюк что ли какой то?:(
-
- ст. лейтенант
- Сообщения: 1375
- Зарегистрирован: 2010-02-05 0:21:40
Re: Проблема использования su обычным пользователем
Я что-то не помню, а хоть что-то выдает permission denied кроме, собственно, недостатка прав доступа к файлам?lefont писал(а):Проблема банальна, после входы в систему под обычным пользователем, вводим "su -" и получаем
su -: Permission denied
Я-бы все-таки проверял права на файлы (и на исполнение).
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
Доступа к каким файлам? Здесь же просто система сообщает о том, что доступ запрещен, или я не правильно что то понимаю?FiL писал(а):Я что-то не помню, а хоть что-то выдает permission denied кроме, собственно, недостатка прав доступа к файлам?lefont писал(а):Проблема банальна, после входы в систему под обычным пользователем, вводим "su -" и получаем
su -: Permission denied
Я-бы все-таки проверял права на файлы (и на исполнение).
Кстати от самого root'a, команда "su" работает...
- Neus
- майор
- Сообщения: 2005
- Зарегистрирован: 2008-09-08 21:59:56
Re: Проблема использования su обычным пользователем
Код: Выделить всё
root@:~ # ll /usr/bin/su
-r-sr-xr-x 1 root wheel 17656 Nov 11 21:03 /usr/bin/su*
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
аналогично, только размер поменьше(Neus писал(а):Код: Выделить всё
root@:~ # ll /usr/bin/su -r-sr-xr-x 1 root wheel 17656 Nov 11 21:03 /usr/bin/su*
Код: Выделить всё
root@InternetGW_2:~ # ll /usr/bin/su
-r-sr-xr-x 1 root wheel 14776 Dec 6 14:43 /usr/bin/su*
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
Похоже или руткит или хакнули реально... Наверное реально проще поставить с ноля систему, предварительно затерев диск нолями, что бы наверняка ни чего не осталось.
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2014-12-08 12:31:06
Re: Проблема использования su обычным пользователем
Затираю диск нолями, и ставлю систему по новой.