Forum » Operacijski sistemi » disable root login
disable root login
'FireSTORM' ::
mam eno vprašanje...ok no dve
prvo je, kje v slackware linux nastavim da se ne morem z root loginat(console command bi raje, ker se mi ne da domov vozit)
pa tudi to
če si ustvarim account z root pravicami, mi vseeno ne delajo vse komande, mi zahteva root uporabnika
če mam disable-an root login, bom še vedno lahko switch user na root ali to tudi odpade?
mam pa slackware linux 10.2, če je mogoče to pomembno
P.S: preiskal pol gugla pa ne najdem
prvo je, kje v slackware linux nastavim da se ne morem z root loginat(console command bi raje, ker se mi ne da domov vozit)
pa tudi to
če si ustvarim account z root pravicami, mi vseeno ne delajo vse komande, mi zahteva root uporabnika
če mam disable-an root login, bom še vedno lahko switch user na root ali to tudi odpade?
mam pa slackware linux 10.2, če je mogoče to pomembno
P.S: preiskal pol gugla pa ne najdem
Those penguins.... They sure aint normal....
ethelred ::
Mene isto zanima za ClarkConnect
"Opinions are like assholes... everyone's got one
and they all stink" (Brandi Kangiser)
SaXsIm ::
ti kar disejblaj root login. Jaz imam prav tako slackware, za login pa uporabljam ssh. Ko si v konzoli prijavljen, lahko uporabiš ukaz su.
SaXsIm
'FireSTORM' ::
ok bom...zdaj mi pa še odgovori na prvo moje vprašanje
kako?
kako?
Those penguins.... They sure aint normal....
blue ::
poglej si manual za sshd_config
Tam lahko nastaviš kateri userji, grupe se lahko prijavijo in tudi na katerem portu ti sshd posluša.
Tam lahko nastaviš kateri userji, grupe se lahko prijavijo in tudi na katerem portu ti sshd posluša.
Zgodovina sprememb…
- spremenilo: blue ()
kekz ::
V /etc/securetty pa nastaviš tudi, s katerih portov sme root vstopiti. Disejblaš lahko tudi konzolne porte in potem ostane res skoraj edino še su.
'FireSTORM' ::
ok zdaj sem tak onesposobil root da se niti ne morem preko su povezat v njega
samo sudo, ftp, pa mail še ostaneta
tak piše tukaj
kak mi je to uspelo...spremenil sem passwd /bin/bash v /sbin/nologin
pozabil pa sem si dodat en account v sudo
tako da preko sudo ne morem v root
pa na ftp se ne morem povezat z root accountom
rabim pa dostop do roota
je še kaka možnost da to spremenim nazaj?
EDIT: mam pa account z primary user group root, ampak z tem itak ne morem spremnijat datotek v drugih mapah kot home
aja pa, PermitRootLogin no ni palilo, še vedno sem se lahko loginal v root
samo sudo, ftp, pa mail še ostaneta
tak piše tukaj
kak mi je to uspelo...spremenil sem passwd /bin/bash v /sbin/nologin
pozabil pa sem si dodat en account v sudo
tako da preko sudo ne morem v root
pa na ftp se ne morem povezat z root accountom
rabim pa dostop do roota
je še kaka možnost da to spremenim nazaj?
EDIT: mam pa account z primary user group root, ampak z tem itak ne morem spremnijat datotek v drugih mapah kot home
aja pa, PermitRootLogin no ni palilo, še vedno sem se lahko loginal v root
Those penguins.... They sure aint normal....
Zgodovina sprememb…
- spremenil: 'FireSTORM' ()
tecumseh ::
Oh ja, tkole brez premisleka pa tudi ne kaze kr disablat in spreminjat reci...
Po moje je najbolj smiselno, ce bootas iz cd-ja in popravis /etc/passwd, potem pa pazi kaj delas.
Po moje je najbolj smiselno, ce bootas iz cd-ja in popravis /etc/passwd, potem pa pazi kaj delas.
'FireSTORM' ::
ja saj, čist sem pozabil da nisem še dodal accounta za sudo
Those penguins.... They sure aint normal....
kekz ::
Upam, da imaš nastavljeno pri bootu, da nekaj sekund počaka na boot: promptu. To je zelo uporabna zadeva, saj lahko podajaš parametre za štartanje sistema.
Torej, menda imaš slacka, torej imaš najverjetneje lilo?
Ko ta počaka na boot promptu, vpišeš ime lilo konfiguracije, ki naj se boota (tisto, kar piše v lilo meniju) in naprej še init=/bin/sh.
Npr.
Jaz imam v /etc/lilo.conf vpisan, da se boota konfiguracija Linux (label = Linux), zato v boot prompt vpišem: Linux init=/bin/sh
Potem se linux zažene "samo na pol", še manj kot single user mode (= runlevel 1). Tam, kjer zažene init (kmalu po loadanju kernela), namreč kar padeš na prompt z vsemi root pravicami. Potem lahko haraš po sistemu. Prej moraš sicer premountati root disk na read-write, ker je na tej točki še read-only: mount -o remount,rw /
Če imaš kakšno drugo distribucijo, ki ne uporablja lilo ampak grub, je še lažje. Ob boot promptu na koncu samo dodaš init=/bin/sh.
To je najbolj simpl zadeva, če si kaj zaštrikaš in sploh ne rabiš nobenih CDjev ali emergency boot diskov.
Torej, menda imaš slacka, torej imaš najverjetneje lilo?
Ko ta počaka na boot promptu, vpišeš ime lilo konfiguracije, ki naj se boota (tisto, kar piše v lilo meniju) in naprej še init=/bin/sh.
Npr.
Jaz imam v /etc/lilo.conf vpisan, da se boota konfiguracija Linux (label = Linux), zato v boot prompt vpišem: Linux init=/bin/sh
Potem se linux zažene "samo na pol", še manj kot single user mode (= runlevel 1). Tam, kjer zažene init (kmalu po loadanju kernela), namreč kar padeš na prompt z vsemi root pravicami. Potem lahko haraš po sistemu. Prej moraš sicer premountati root disk na read-write, ker je na tej točki še read-only: mount -o remount,rw /
Če imaš kakšno drugo distribucijo, ki ne uporablja lilo ampak grub, je še lažje. Ob boot promptu na koncu samo dodaš init=/bin/sh.
To je najbolj simpl zadeva, če si kaj zaštrikaš in sploh ne rabiš nobenih CDjev ali emergency boot diskov.
'FireSTORM' ::
pa ok, saj če bom moral domov, mi je vseeno če bom rabil CD ali ne
remotely pa se ne da nikak tega popraviti?
sem razmišljal tudi v tej smeri da bi spremenil pravice dostopa do passwd
ker ma zdaj ta file group permissions samo na read
remotely pa se ne da nikak tega popraviti?
sem razmišljal tudi v tej smeri da bi spremenil pravice dostopa do passwd
ker ma zdaj ta file group permissions samo na read
Those penguins.... They sure aint normal....
BlaY0 ::
Vse si zbluzil!
Pod nobenim pogojem se ne ustvarja userja z istimi pravicami kot root niti se ne spreminja pravic na /etc/passwd in /etc/shadow!!!
Root account se blokira tako, da popraviš /etc/shadow (password zamenjaš z zvezdico). Ne spreminjaj shell-a v /etc/passwd, ker se ne boš potem na noben način mogel interaktivno logirati.
Potem imaš pa dve varianti... ena je jasno sudo, druga (meni ljubša) pa pam.
Za sudo je najbolje če z visudo poeditiraš /etc/sudoers in dodaš nekaj v stilu:
root ALL=(ALL) ALL
%leet ALL=(ALL) ALL
...dodaš grupo leet in sebe vanjo. Potem jasno "su komanda" in svoj password. Za interaktivni root login pa "su -i" in svoj password. Pa brez kompliciranja!
Pri pam-u gre pa nekako takole. Po vsej verjetnosti boš editiral /etc/pam.d/su (lahko tudi /etc/pam.conf). Začneš z:
# Tole je pogoj , da se root lahko su-ja v vsakem primeru brez vprašanja,
# in je zadosten. Nadaljnje preverjanje se ne izvaja.
auth sufficient pam_rootok.so
# Tole je opcija in pomeni, da mora biti vsak, ki hoče uporabljati su naveden v
# /etc/su.allow, če ga ni v tem fajlu zadeva takoj pade ven in se logira.
auth requisite pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/su.allow
# Tole je pa še en zadosten pogoj za su (brez uporabe passworda). Ta ti brez
# drugih pogojov dovoli su na kogarkoli.
auth sufficient pam_wheel.so trust use_uid group=leet
# Od tu dalje pa vse ostalo kar še ostane...
...Opisi vseho modulov so ponavadi v /usr/share/doc/pam-version
Pod nobenim pogojem se ne ustvarja userja z istimi pravicami kot root niti se ne spreminja pravic na /etc/passwd in /etc/shadow!!!
Root account se blokira tako, da popraviš /etc/shadow (password zamenjaš z zvezdico). Ne spreminjaj shell-a v /etc/passwd, ker se ne boš potem na noben način mogel interaktivno logirati.
Potem imaš pa dve varianti... ena je jasno sudo, druga (meni ljubša) pa pam.
Za sudo je najbolje če z visudo poeditiraš /etc/sudoers in dodaš nekaj v stilu:
root ALL=(ALL) ALL
%leet ALL=(ALL) ALL
...dodaš grupo leet in sebe vanjo. Potem jasno "su komanda" in svoj password. Za interaktivni root login pa "su -i" in svoj password. Pa brez kompliciranja!
Pri pam-u gre pa nekako takole. Po vsej verjetnosti boš editiral /etc/pam.d/su (lahko tudi /etc/pam.conf). Začneš z:
# Tole je pogoj , da se root lahko su-ja v vsakem primeru brez vprašanja,
# in je zadosten. Nadaljnje preverjanje se ne izvaja.
auth sufficient pam_rootok.so
# Tole je opcija in pomeni, da mora biti vsak, ki hoče uporabljati su naveden v
# /etc/su.allow, če ga ni v tem fajlu zadeva takoj pade ven in se logira.
auth requisite pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/su.allow
# Tole je pa še en zadosten pogoj za su (brez uporabe passworda). Ta ti brez
# drugih pogojov dovoli su na kogarkoli.
auth sufficient pam_wheel.so trust use_uid group=leet
# Od tu dalje pa vse ostalo kar še ostane...
...Opisi vseho modulov so ponavadi v /usr/share/doc/pam-version
'FireSTORM' ::
no hvala za razlago, zdaj sem porihtal ;)
Those penguins.... They sure aint normal....
BlaY0 ::
Aha, en typo vidim... za interaktivni root login uporabiš "sudo -i" + svoj password in ne "su -i" kot sem najprej napisal.
kekz ::
Nimajo vsi linuxi pam-a.
Pam je sicer zelo praktičen, vendar je bilo ravno pri tem zelo veliko varnostnih lukenj.
Pam je sicer zelo praktičen, vendar je bilo ravno pri tem zelo veliko varnostnih lukenj.
BlaY0 ::
@kekz: Eno distribucijo razen Slackware-a in derivatov mi povej, ki ne uporablja PAM-a in jo uporablja več kot 3% linuxašev.
Povej mi eno konkretno varnostno luknjo v katerem koli PAM modulu, ki jo lahko trenutno zlorabiš.
Problem pri PAM-u je največkrat to, da ga ljudje ne znajo pravilno skonfigurirati in si s tem ustvarjajo varnostne luknje, lahko pa si tudi z eno potezo spravijo sistem na kolena.
Povej mi eno konkretno varnostno luknjo v katerem koli PAM modulu, ki jo lahko trenutno zlorabiš.
Problem pri PAM-u je največkrat to, da ga ljudje ne znajo pravilno skonfigurirati in si s tem ustvarjajo varnostne luknje, lahko pa si tudi z eno potezo spravijo sistem na kolena.
'FireSTORM' ::
no no, ni se treba kregat
saj sem to porihtal...
mam pa en drug problem
z identd
inštaliram po x guidih in mi ne laufa to kot bi moralo
sem ga dal v inetd.conf pa tudi kot daemon sem probal zagnat pa ne laufa
mi lahko kdo pomaga z tem?
nebom odpiral nove teme, ker se mi zdi bzv da bi zato odpiral novo temo
saj sem to porihtal...
mam pa en drug problem
z identd
inštaliram po x guidih in mi ne laufa to kot bi moralo
sem ga dal v inetd.conf pa tudi kot daemon sem probal zagnat pa ne laufa
mi lahko kdo pomaga z tem?
nebom odpiral nove teme, ker se mi zdi bzv da bi zato odpiral novo temo
Those penguins.... They sure aint normal....
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Izguba administratorskih pravic kot sudo uporabnik (strani: 1 2 )Oddelek: Pomoč in nasveti | 12248 (10195) | SeMiNeSanja |
» | Napad na FTP serverOddelek: Informacijska varnost | 1563 (1084) | amigo_no1 |
» | OpenSSH za Windows in certifikatOddelek: Omrežja in internet | 2354 (2354) | Poldi112 |
» | Varnost openSSHOddelek: Omrežja in internet | 2508 (2086) | Volk| |
» | Clarkconnect: kako preprečiti DDoS napade iz lokalne mreže?Oddelek: Omrežja in internet | 2396 (1762) | pecorin |