LINUX.ORG.RU

Изменение прав на /bin /sbin и последствия

 , ,


0

2

Здравствуйте, заранее предупрежу, что не являюсь «прошареным» пользователем. Так как большую часть времени я всё таки не сталкиваюсь с проблемами и привык делать большинство действий благодаря gui, как бы меня за это не поносили.

Система Debian 9, ядро 4.19.0-5-amd64. Рабочее окружение xfce4

А теперь к сути, захотелось мне создать пользователя с очень ограниченными правами, что бы не мог делать ничего. Его максимум был бы это открыть файловый менеджер, браузер и ещё что либо по мелочи. Прописал команду

useradd inval
протыкал enter и ура, пользователь создан. Далее в порыве гениальности я начал творить. Открыл Thunar и установил права для пользователя inval для папок /bin и /sbin на нет. После, без задних мыслей перезапустил систему. Я по своей наивности думал что права применились только для inval. Но, как оказалось это распространилось и на пользователей user и v.

user - это основной пользователь

v - пользователь с зашифрованным каталогом. В основном используется как второй браузер и всё обычно запускается через gksu -u v firefox[opera, thunar и т.д.]

После начался процесс восстановления путем возращения прав на директории /bin и /usr/bin чтения и запись, а на директории /sbin и /usr/sbin только чтения.

Далее последовало муторное ковыряние su, так как команда отказывалась принимать пароль. Решилось командами

chown root:root /bin/su
chmod 4755 /bin/su
chown root:root /usr/bin/sudoedit
chmod 4755 /usr/bin/sudoedit
chown root:root /usr/bin/sudo
chmod 4755 /usr/bin/sudo

И команда su заработала. Sudo - нет.

После появилась проблема с незапускающимся браузером firefox от root.

Running Firefox as root in a regular user's session is not supported.  ($XDG_RUNTIME_DIR is /run/user/1000 which is owned by user.)

Нашел в интернете решение заключающееся в том, что бы прописать

chown -R root:root /usr/bin

А после скопировать из /home/user в /root файл .Xauthority И прописать chown root .Xauthority. Не помогло.

Зато появился баг с тем, что нельзя было войти в gui через lightdm, исправилось тем, что выдал user права на .Xauthority как на чтение так и на запись.

Следующие проблемы без понятия как исправлять, интернет ничего толкового не выдает.

А конкретнее следующее: Не работает synaptic-pkexec. Пишет pkexec must be setuid root

Зашифрованный пользователь v не поддается расшифровке. При входе в пользователя пишет

Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'

При вводе команды

v@DE:/home/user$ ecryptfs-mount-private 
Enter your login passphrase:
Inserted auth tok with sig [88f80a04484fff84] into the user session keyring
setreuid: Operation not permitted

Не работает собственно gksu не даёт никакого вывода, есть подозрение на setreuid.

Также пропала группа wheel, как, куда, почему - не знаю, как восстановить - не знаю.

Что делать, не знаю. Т.к. в linux почти ничего не понимаю, экстремальные советы вроде переустановки с сохранением home постараюсь применить в последнюю очередь, на выходных.

Помимо классических прав Unix ещё ACL есть. Прочти документацию по обоим.

Но в твоем случае переустановить с сохранением /home будет проще.

Vsevolod-linuxoid ★★★★★ ()

Чтобы восстановить убитые права наверное проще переустановить все пакеты. Если работают dpkg и apt, то задача простая. apt list — получается список всех пакетов в системе. Потом немного awk и из этого списка получается скрипт для переустановки.

imul ★★★★★ ()
Ответ на: комментарий от imul

Ну из интересного, как я поковырялся мне нужно только с setreuid разобраться, так как только он не работает, а вот что с этим делать. Информации очень мало, выдает только возможные ошибки в C и C++. Потому что так, почти всё работает. И с awk очень маловероятно что нормально сработает. Придется допиливать т.к. есть важные пакеты установленные вручную. И что делать с зашифрованным разделом? Не слетит ли он при переустановке encryptfs? По идее там храниться хэш ключа расшифровки который, в моем случае совпадает с логином пользователя и должен расшифроваться, но я не уверен.

Если очень кратно. Безопасно ли переустанавливать encryptfs?

Im_not_robot ()
Ответ на: комментарий от Vsevolod-linuxoid

Меня больше волнует зашифрованный раздел. Если бы его содержимое можно было бы скопировать, тогда ладно. Но что-то мне подсказывает, что при переустановке доступ к зашифрованному разделу я потеряю навсегда.

Im_not_robot ()
Ответ на: комментарий от Im_not_robot

И что делать с зашифрованным разделом? Не слетит ли он при переустановке encryptfs?

При обновлении пакета у тебя ключ слетает?
При обновлении всей системы ключ слетает?

imul ★★★★★ ()
Ответ на: комментарий от Im_not_robot

Кстати, ещё вариант. Загрузись с лайва, подмонтируй корень с убитыми /bin и /sbin. И сравнивай на убитом и на лайве права, овнеров, атрибуты, метки и т.д. Ну и можно же переустановить все пакеты кроме одного. Сформируй список пакетов и убери оттуда руками те пакеты, которые боишься переустановить. Пусть система будет хромой на пару пакетов, но у каталогов и остальных файлов всё будет в порядке.

imul ★★★★★ ()
Ответ на: комментарий от imul

Я честно бес понятия, я не знаю хранит ли ключ сама программа или ключ храниться в виде хэша на зашифрованном разделе. Потому и спрашиваю.

Im_not_robot ()
Ответ на: комментарий от imul

Хорошая идея, надо было сразу догадаться. Есть под рукой виртуалка с debian. Посижу поковыряю.

Im_not_robot ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.