LINUX.ORG.RU

not in the sudoers file

 


0

1

Всем привет
Ковырялся тут в xfwm4, пришлось ребутаться.
После ребута оказалось, что юзер, под которым я сижу (kovrik) пропал из /etc/sudoers
Ребутнулся в recovery mode -> root -> mount -o remount,rw /dev/sdaX -> добавил себя в /etc/sudoers
Теперь вроде все работает

Вопрос: почему такое произошло?
Как узнать, почему изменился /etc/sudoers?

★★★★★

Теперь - скорее всего никак.

Можно было бы посмотреть время модификации /etc/sudoers и /etc/group

auditd может логировать доступ к файлам, в т.ч. их изменение

IDS может считать, хранить и проверять контрольные суммы файлов и скажет, если файл был изменён.

Из универсальных отмазок - попробуй прогнать rkhunter и по желанию полностью переустановить ОС.

router ★★★★★ ()
Ответ на: комментарий от kovrik

Потому что другое. К.О.

Ты его когда-нибудь синхронизировал? В настройках ntpd задаётся, синхронизировать ли аппаратные часы с системным временем

Вручную - hwclock --systohc

router ★★★★★ ()
Ответ на: комментарий от router

Ага, понятно.
А почему sudo ругается на то, что железные часы не совпадают с системными? Какое ему до них дело?

kovrik ★★★★★ ()
Ответ на: комментарий от kovrik

Ясно.

На всякий случай поясню: когда ты загрузился в recovery mode, скорее всего системные часы не синхронизировались с ntp сервером и было использовано время из аппаратных часов. Т.е. в данном случае " timestamp too far in the future" - следствие того что ты загружася в recovery mode, а не следы хакеров.

А можно пример работы, настройки rkhunter'а/auditd? Или ссылку на годный мануал?

rkhuner: просто устанавливаешь и запускаешь с ключом -c. В выводе будет имя лога , в котором искать подробный отчёт

rkhuner -c

auditd: http://www.xakep.ru/post/54897/?print=true или man audit.rules

router ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.