not in the sudoers file

0

1

Всем привет
Ковырялся тут в xfwm4, пришлось ребутаться.
После ребута оказалось, что юзер, под которым я сижу (kovrik) пропал из /etc/sudoers
Ребутнулся в recovery mode -> root -> mount -o remount,rw /dev/sdaX -> добавил себя в /etc/sudoers
Теперь вроде все работает

Вопрос: почему такое произошло?
Как узнать, почему изменился /etc/sudoers?

Ссылка

←	libpcap fedora 17

Установка даты из UTC секунд

→

А еще теперь ругается:

sudo: timestamp too far in the future: Sep 5 14:58:10 2012

kovrik ★★★★★
(05.09.12 11:04:21 MSK) автор топика

Теперь - скорее всего никак.

Можно было бы посмотреть время модификации /etc/sudoers и /etc/group

auditd может логировать доступ к файлам, в т.ч. их изменение

IDS может считать, хранить и проверять контрольные суммы файлов и скажет, если файл был изменён.

Из универсальных отмазок - попробуй прогнать rkhunter и по желанию полностью переустановить ОС.

router ★★★★★
(05.09.12 11:06:50 MSK)

Ссылка

Ответ на: комментарий от kovrik 05.09.12 11:04:21 MSK

Время проверь, в т.ч. в железных часах

router ★★★★★
(05.09.12 11:07:38 MSK)

Ответ на: комментарий от router 05.09.12 11:07:38 MSK

В системе время не изменилось, показывает правильное (а не 14:58)

kovrik ★★★★★
(05.09.12 11:09:13 MSK) автор топика

Ответ на: комментарий от kovrik 05.09.12 11:09:13 MSK

hwclock --show

router ★★★★★
(05.09.12 11:11:05 MSK)

Ответ на: комментарий от router 05.09.12 11:11:05 MSK

Ага, здесь время другое. Почему так?

kovrik ★★★★★
(05.09.12 11:12:05 MSK) автор топика

Ответ на: комментарий от kovrik 05.09.12 11:12:05 MSK

Потому что другое. К.О.

Ты его когда-нибудь синхронизировал? В настройках ntpd задаётся, синхронизировать ли аппаратные часы с системным временем

Вручную - hwclock --systohc

router ★★★★★
(05.09.12 11:13:38 MSK)

Ответ на: комментарий от router 05.09.12 11:13:38 MSK

Ага, понятно.
А почему sudo ругается на то, что железные часы не совпадают с системными? Какое ему до них дело?

kovrik ★★★★★
(05.09.12 11:19:46 MSK) автор топика

Ответ на: комментарий от kovrik 05.09.12 11:19:46 MSK

Он ругается на то, что время редактирования его конфига - в будущем. Это ненормально

router ★★★★★
(05.09.12 11:23:16 MSK)

Ответ на: комментарий от router 05.09.12 11:23:16 MSK

Ясно.

А можно пример работы, настройки rkhunter'а/auditd? Или ссылку на годный мануал?

kovrik ★★★★★
(05.09.12 11:24:47 MSK) автор топика

Ответ на: комментарий от kovrik 05.09.12 11:24:47 MSK

Ясно.

На всякий случай поясню: когда ты загрузился в recovery mode, скорее всего системные часы не синхронизировались с ntp сервером и было использовано время из аппаратных часов. Т.е. в данном случае " timestamp too far in the future" - следствие того что ты загружася в recovery mode, а не следы хакеров.