» »

disable root login

disable root login

'FireSTORM' ::

mam eno vprašanje...ok no dve

prvo je, kje v slackware linux nastavim da se ne morem z root loginat(console command bi raje, ker se mi ne da domov vozit)
pa tudi to
če si ustvarim account z root pravicami, mi vseeno ne delajo vse komande, mi zahteva root uporabnika
če mam disable-an root login, bom še vedno lahko switch user na root ali to tudi odpade?

mam pa slackware linux 10.2, če je mogoče to pomembno

P.S: preiskal pol gugla pa ne najdem
Those penguins.... They sure aint normal....

ethelred ::

Mene isto zanima za ClarkConnect

"Opinions are like assholes... everyone's got one
and they all stink" (Brandi Kangiser)

SaXsIm ::

ti kar disejblaj root login. Jaz imam prav tako slackware, za login pa uporabljam ssh. Ko si v konzoli prijavljen, lahko uporabiš ukaz su.
SaXsIm

'FireSTORM' ::

ok bom...zdaj mi pa še odgovori na prvo moje vprašanje
kako?:))
Those penguins.... They sure aint normal....

blue ::

poglej si manual za sshd_config

Tam lahko nastaviš kateri userji, grupe se lahko prijavijo in tudi na katerem portu ti sshd posluša.

Zgodovina sprememb…

  • spremenilo: blue ()

tecumseh ::

/etc/ssh/sshd_config: PermitRootLogin no

kekz ::

V /etc/securetty pa nastaviš tudi, s katerih portov sme root vstopiti. Disejblaš lahko tudi konzolne porte in potem ostane res skoraj edino še su.

'FireSTORM' ::

saj to bi rad da samo su ostane :)
Those penguins.... They sure aint normal....

'FireSTORM' ::

ok zdaj sem tak onesposobil root da se niti ne morem preko su povezat v njega
samo sudo, ftp, pa mail še ostaneta
tak piše tukaj
kak mi je to uspelo...spremenil sem passwd /bin/bash v /sbin/nologin
pozabil pa sem si dodat en account v sudo
tako da preko sudo ne morem v root
pa na ftp se ne morem povezat z root accountom

rabim pa dostop do roota
je še kaka možnost da to spremenim nazaj?
EDIT: mam pa account z primary user group root, ampak z tem itak ne morem spremnijat datotek v drugih mapah kot home

aja pa, PermitRootLogin no ni palilo, še vedno sem se lahko loginal v root
Those penguins.... They sure aint normal....

Zgodovina sprememb…

tecumseh ::

Oh ja, tkole brez premisleka pa tudi ne kaze kr disablat in spreminjat reci...
Po moje je najbolj smiselno, ce bootas iz cd-ja in popravis /etc/passwd, potem pa pazi kaj delas.

'FireSTORM' ::

ja saj, čist sem pozabil da nisem še dodal accounta za sudo
Those penguins.... They sure aint normal....

kekz ::

Upam, da imaš nastavljeno pri bootu, da nekaj sekund počaka na boot: promptu. To je zelo uporabna zadeva, saj lahko podajaš parametre za štartanje sistema.

Torej, menda imaš slacka, torej imaš najverjetneje lilo?
Ko ta počaka na boot promptu, vpišeš ime lilo konfiguracije, ki naj se boota (tisto, kar piše v lilo meniju) in naprej še init=/bin/sh.

Npr.
Jaz imam v /etc/lilo.conf vpisan, da se boota konfiguracija Linux (label = Linux), zato v boot prompt vpišem: Linux init=/bin/sh

Potem se linux zažene "samo na pol", še manj kot single user mode (= runlevel 1). Tam, kjer zažene init (kmalu po loadanju kernela), namreč kar padeš na prompt z vsemi root pravicami. Potem lahko haraš po sistemu. Prej moraš sicer premountati root disk na read-write, ker je na tej točki še read-only: mount -o remount,rw /

Če imaš kakšno drugo distribucijo, ki ne uporablja lilo ampak grub, je še lažje. Ob boot promptu na koncu samo dodaš init=/bin/sh.

To je najbolj simpl zadeva, če si kaj zaštrikaš in sploh ne rabiš nobenih CDjev ali emergency boot diskov.

'FireSTORM' ::

pa ok, saj če bom moral domov, mi je vseeno če bom rabil CD ali ne
remotely pa se ne da nikak tega popraviti?

sem razmišljal tudi v tej smeri da bi spremenil pravice dostopa do passwd
ker ma zdaj ta file group permissions samo na read
Those penguins.... They sure aint normal....

BlaY0 ::

Vse si zbluzil!

Pod nobenim pogojem se ne ustvarja userja z istimi pravicami kot root niti se ne spreminja pravic na /etc/passwd in /etc/shadow!!!

Root account se blokira tako, da popraviš /etc/shadow (password zamenjaš z zvezdico). Ne spreminjaj shell-a v /etc/passwd, ker se ne boš potem na noben način mogel interaktivno logirati.

Potem imaš pa dve varianti... ena je jasno sudo, druga (meni ljubša) pa pam.

Za sudo je najbolje če z visudo poeditiraš /etc/sudoers in dodaš nekaj v stilu:

root ALL=(ALL) ALL
%leet ALL=(ALL) ALL


...dodaš grupo leet in sebe vanjo. Potem jasno "su komanda" in svoj password. Za interaktivni root login pa "su -i" in svoj password. Pa brez kompliciranja!

Pri pam-u gre pa nekako takole. Po vsej verjetnosti boš editiral /etc/pam.d/su (lahko tudi /etc/pam.conf). Začneš z:

# Tole je pogoj , da se root lahko su-ja v vsakem primeru brez vprašanja,
# in je zadosten. Nadaljnje preverjanje se ne izvaja.
auth sufficient pam_rootok.so
# Tole je opcija in pomeni, da mora biti vsak, ki hoče uporabljati su naveden v
# /etc/su.allow, če ga ni v tem fajlu zadeva takoj pade ven in se logira.
auth requisite pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/su.allow
# Tole je pa še en zadosten pogoj za su (brez uporabe passworda). Ta ti brez
# drugih pogojov dovoli su na kogarkoli.
auth sufficient pam_wheel.so trust use_uid group=leet
# Od tu dalje pa vse ostalo kar še ostane...

...Opisi vseho modulov so ponavadi v /usr/share/doc/pam-version

'FireSTORM' ::

no hvala za razlago, zdaj sem porihtal ;)
Those penguins.... They sure aint normal....

BlaY0 ::

Aha, en typo vidim... za interaktivni root login uporabiš "sudo -i" + svoj password in ne "su -i" kot sem najprej napisal.

kekz ::

Nimajo vsi linuxi pam-a.
Pam je sicer zelo praktičen, vendar je bilo ravno pri tem zelo veliko varnostnih lukenj. :\

BlaY0 ::

@kekz: Eno distribucijo razen Slackware-a in derivatov mi povej, ki ne uporablja PAM-a in jo uporablja več kot 3% linuxašev.

Povej mi eno konkretno varnostno luknjo v katerem koli PAM modulu, ki jo lahko trenutno zlorabiš.

Problem pri PAM-u je največkrat to, da ga ljudje ne znajo pravilno skonfigurirati in si s tem ustvarjajo varnostne luknje, lahko pa si tudi z eno potezo spravijo sistem na kolena.

'FireSTORM' ::

no no, ni se treba kregat
saj sem to porihtal...

mam pa en drug problem
z identd
inštaliram po x guidih in mi ne laufa to kot bi moralo
sem ga dal v inetd.conf pa tudi kot daemon sem probal zagnat pa ne laufa
mi lahko kdo pomaga z tem?:\
nebom odpiral nove teme, ker se mi zdi bzv da bi zato odpiral novo temo
Those penguins.... They sure aint normal....


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Izguba administratorskih pravic kot sudo uporabnik (strani: 1 2 )

Oddelek: Pomoč in nasveti
6512066 (10013) SeMiNeSanja
»

Napad na FTP server

Oddelek: Informacijska varnost
161551 (1072) amigo_no1
»

OpenSSH za Windows in certifikat

Oddelek: Omrežja in internet
62337 (2337) Poldi112
»

Varnost openSSH

Oddelek: Omrežja in internet
242490 (2068) Volk|
»

Clarkconnect: kako preprečiti DDoS napade iz lokalne mreže?

Oddelek: Omrežja in internet
262370 (1736) pecorin

Več podobnih tem