LINUX.ORG.RU

Убить root'a


0

0

Запретить root'у заходить в консоли и через ssh не получается :(
удалял и оставлял пустым /etc/security, а также коментарил там tty1-5 - один фиг в консоль пускает.
в /etc/ssh/sshd.conf
PermitRootLogin no
не дает root'у войти, но и , зараза, пароль на su всегда просить извинений... - не пускает.
ХЕЕЕЕЕЛП!
как root'у запретить ходить в консоли и ssh, но приетом иметь возможность юзать su ?
зы: Слака-12.0

Ответ на: Re: Убить root'a от sin_a

Re: Убить root'a

Тут весь смак в том, что бы понять как сие работает и как этим управлять. Вот мне и не понятно, почему у меня не работает как надо, хотя, все деалю правильно, вроде.

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

Если не понятно, то изложите всё ещё раз. Править надо /etc/securetty.

Фразу "пароль на su всегда просить извинений... - не пускает. " я не смог распарсить, у вас команда su не работает чтоли?

mky ★★★★★ ()
Ответ на: Re: Убить root'a от mky

Re: Убить root'a

>Если не понятно, то изложите всё ещё раз. Править надо /etc/securetty

Оно самое и есть, я ошибся в написании, сорри.
Там я и правлю..., но руту пофиг!

>Фразу "пароль на su всегда просить извинений... - не пускает. " я не смог распарсить, у вас команда su не работает чтоли?


команда работает, пароль рута не принимает :(

user@test:~$ su
root's password:
Sorry!

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

Хочу уточнить:

>Если не понятно, то изложите всё ещё раз. Править надо /etc/securetty
>> Оно самое и есть, я ошибся в написании, сорри.
>> Там я и правлю..., но руту пофиг!

^ это косаемо входа с консолей

>Фразу "пароль на su всегда просить извинений... - не пускает. " я не смог распарсить, у вас команда su не работает чтоли?
>> команда работает, пароль рута не принимает :(
>> user@test:~$ su
>> root's password:
>> Sorry!

^ а это косаемо ssh

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

А вобще команда su работает? То есть из под одного пользователя (не root'а) можно стать другим пользователем? Или su перестает работать, если исправить конфиг sshd?

По поводу консоли, посмотрите /etc/login.defs, опция CONSOLE.

mky ★★★★★ ()
Ответ на: Re: Убить root'a от mky

Re: Убить root'a

>А вобще команда su работает?

да, можно стать кем угодно, только не рутом..
Получается, что su работает как-то не так? :(
а куда смотреть?

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

Честно говоря, не знаю, может попробовать "su -". А может так и задумано, что su не должно давать возможность получить root-шелл.

Посмотрите параметр "SU_WHEEL_ONLY" в файле /etc/login.defs, попробуйте добавить себя в группу wheel...

Может посмотреть исходики (вместе с патчами) этой команды в Slackware 12.0.

mky ★★★★★ ()
Ответ на: Re: Убить root'a от mky

Re: Убить root'a

млин...
"а ларчик просто открывался" (с)нпч
ты прав - надо было юзверя добавить в группу wheel
:)

спсаибо!

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

> user@test:~$ su
> root's password:

> Sorry!


user@test:~$ sudo su -
password:
user@test:~#

1) в /etc/shadow у root вместо хэша пароля нужно поставить *
2) Внести нужных пользователей в whell (в некоторых дистрибутивах admin)
3) visudo

Всё?

Lumi ★★★★★ ()
Ответ на: Re: Убить root'a от manntes

Re: Убить root'a

> Уточнение: там может быть вообще что угодно, кроме корректного хеша
Спора нет, но по традиции рекомендуется *

Lumi ★★★★★ ()
Ответ на: Re: Убить root'a от Lumi

Re: Убить root'a

Если не ошибаюсь, там дело не в традиции а в том, что этот символ не может встретиться в хеше естественным образом. Таким образом можно избезать коллизий. Коллизии конечно маловероятны, но гарантия в любом случае лучше.

sin_a ★★★★★ ()
Ответ на: Re: Убить root'a от sin_a

Re: Убить root'a

Это абсолютно верно, но в хеше не встречается естественным образом не только *.

Lumi ★★★★★ ()
Ответ на: Re: Убить root'a от Lumi

Re: Убить root'a

> 1) в /etc/shadow у root вместо хэша пароля нужно поставить *

Ну, тогда мы его точно грохнем! И никакой SU, нас никуда с привилегиями рута не пустит ибо и других юзверей с ID=0 неть :)

> 2) Внести нужных пользователей в whell (в некоторых дистрибутивах admin)

вот это и помогло. А руту просто запрет входить в терминалы, консоли и всякие ssh.

> 3) visudo

могет vi sudo? или vi sulogin?
а что это даст?
исходники надо...., вот к ним я и подбирался :)

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

>> 1) в /etc/shadow у root вместо хэша пароля нужно поставить *

> Ну, тогда мы его точно грохнем! И никакой SU, нас никуда с привилегиями рута не пустит ибо и других юзверей с ID=0 неть :)

Правильно.

Нет необходимости использовать su, можно использовать sudo. Например sudo bash даст нам как раз нужные права. Или sudo -i. Хотя можно и по другому, но это наверно самый простой способ.

sin_a ★★★★★ ()
Ответ на: Re: Убить root'a от sin_a

Re: Убить root'a

Например строка

%admin ALL=(ALL) ALL

в файле /etc/sudoers позволит всем кто входит в группу admin выполнять любые команды через sudo. При изменении его, привилегии перечитываются при новом логине.

sin_a ★★★★★ ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

> Ну, тогда мы его точно грохнем! И никакой SU, нас никуда с привилегиями рута не пустит ибо и других юзверей с ID=0 неть :)

И что? Не пустит su -, пустит sudo su -.

> А руту просто запрет входить в терминалы, консоли и всякие ssh.


Вот для этого и ставим *

> могет vi sudo? или vi sulogin?


Хм...

> а что это даст?


Запустит твой любимый системный ${EDITOR} с правами рута и загрузит в него /etc/sudoer

> исходники надо...., вот к ним я и подбирался :)


Исходники чего?


Lumi ★★★★★ ()
Ответ на: Re: Убить root'a от Lumi

Re: Убить root'a

>> могет vi sudo? или vi sulogin?
> Хм...

млин..., тормознул.., иду читать маны...:)

>> исходники надо...., вот к ним я и подбирался :)
> Исходники чего?

su, sudo

ATAMAH ()
Ответ на: Re: Убить root'a от ATAMAH

Re: Убить root'a

всегда запрещал логин по ssh - PermitRootLogin no (хотя это не обязательно)

потом вместо * в /etc/shadow можно сделать passwd -l root. Результат тот же, только не ручной правкой конфига, а предназначенной для этой цели утилитой - passwd, считаю этот подход более корректным.

и юзать спокойно sudo su - (или просто sudo команда)

samson ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.