|
|
 | genskabelse af root-password
Fra : Jon Loldrup |
Dato : 16-07-07 08:58 |
|
Hej
Jeg har mistet mit root-password, jeg forsøgte derfor at få det igen
ved at boote på en rescue-cd og ændre /etc/passwd filens første linie
fra
root:x:0:0:root:/root:/bin/bash
til
root::0:0:root:/root:/bin/bash (dvs. uden x'et)
og samtidig ændrede jeg den første linie i /etc/shadow fra en meget
lang kryptisk linie til:
root::::
Derefter startede jeg mit system igen og skrev
su
(så blev jeg root, uden at skulle angive noget password :)
passwd
(her bad den mig angive nyt password 2 gange)
Problemet var så bare, at uanset hvor møjsommelig jeg taster det nye
password ind to gange, så mente den at der er "authentication
failure". Det sjove er at jeg jo allerede ER root (ifølge bash-
promten).
Så nu har jeg altså stadig ikke noget root-password :(
Jeg havde heller ikke nogen synderlige root-rettigheder. F.eks. kunne
jeg ikke skrive 'init 0'. Det plejer jeg at kunne som root.
Jeg fulgte guiden her: http://brunolinux.com/01-First_Things_To_Know/Lost_Root_Password.html
| |
 Jon Loldrup (16-07-2007)
| Kommentar
Fra : Jon Loldrup |
Dato : 16-07-07 09:00 |
|
Der er forresten tale om CentOS 4.3
mvh Jon
| |
Jørgen Heesche (16-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 16-07-07 12:32 |
|
Jon Loldrup wrote:
> Hej
>
> Jeg har mistet mit root-password, jeg forsøgte derfor at få det igen
> ved at boote på en rescue-cd og ændre /etc/passwd filens første linie
> fra
>
> root:x:0:0:root:/root:/bin/bash
>
> til
>
> root::0:0:root:/root:/bin/bash (dvs. uden x'et)
>
> og samtidig ændrede jeg den første linie i /etc/shadow fra en meget
> lang kryptisk linie til:
>
> root::::
>
> Derefter startede jeg mit system igen og skrev
> su
> (så blev jeg root, uden at skulle angive noget password :)
> passwd
> (her bad den mig angive nyt password 2 gange)
> Problemet var så bare, at uanset hvor møjsommelig jeg taster det nye
> password ind to gange, så mente den at der er "authentication
> failure". Det sjove er at jeg jo allerede ER root (ifølge bash-
> promten).
> Så nu har jeg altså stadig ikke noget root-password :(
> Jeg havde heller ikke nogen synderlige root-rettigheder. F.eks. kunne
> jeg ikke skrive 'init 0'. Det plejer jeg at kunne som root.
> Jeg fulgte guiden her: http://brunolinux.com/01-First_Things_To_Know/Lost_Root_Password.html
>
Det var dog en afsindig vejledning, man må ALDRIG editere password
manuelt i /etc/passwd og /etc/shadow.
Man skal boote i failsafemode (single user mode) og så bruge passwd
kommandoen med det samme.
Måske kan du stadig redde situationen på den måde, men jeg ved det ikke.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Klaus Ellegaard (16-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 16-07-07 12:59 |
|
=?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>Det var dog en afsindig vejledning, man må ALDRIG editere password
>manuelt i /etc/passwd og /etc/shadow.
Huh? Det er tekstfiler - ligesom resten af konfigurationsfilerne.
Det er altså kun Windows og venner, der har mærkelige regler og
uforudsigelige følger af at pille. Den slags sker ikke i UNIX.
Det eneste sted, hvor man kan få problemer, er hvis flere retter
i den samme fil på én gang. I gamle dage havde vi vipw specifikt
til det, men den er vist blevet væk - specielt efter man fandt på
at passwd faktisk består af to eller flere filer (passwd og en
form for shadow).
>Man skal boote i failsafemode (single user mode) og så bruge passwd
>kommandoen med det samme.
>Måske kan du stadig redde situationen på den måde, men jeg ved det ikke.
Jeg forstår slet ikke, hvad din skræk for passwd-filen går ud på.
Selvfølgelig skal man undlade at ødelægge den, men får man gjort
det, kan man da bare lave en helt ny?
Mvh.
Klaus.
| |
 Jesper Krogh (16-07-2007)
| Kommentar
Fra : Jesper Krogh |
Dato : 16-07-07 13:03 |
|
I dk.edb.system.unix, skrev Klaus Ellegaard:
> =?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>
> >Det var dog en afsindig vejledning, man må ALDRIG editere password
> >manuelt i /etc/passwd og /etc/shadow.
>
> Huh? Det er tekstfiler - ligesom resten af konfigurationsfilerne.
> Det er altså kun Windows og venner, der har mærkelige regler og
> uforudsigelige følger af at pille. Den slags sker ikke i UNIX.
Generelt ja.. indtil at begynderen deler / over SMB og skriver
Windows-linieskift ned i alle filerne 
> Jeg forstår slet ikke, hvad din skræk for passwd-filen går ud på.
> Selvfølgelig skal man undlade at ødelægge den, men får man gjort
> det, kan man da bare lave en helt ny?
Det er vist nemmere at gendanne den fra backupen så.
Jesper - Backup er jo noget vi alle har.. ikk?
--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk
| |
Peter Dalgaard (16-07-2007)
| Kommentar
Fra : Peter Dalgaard |
Dato : 16-07-07 13:54 |
|
Jesper Krogh <jesper@krogh.cc> writes:
>> Selvfølgelig skal man undlade at ødelægge den, men får man gjort
>> det, kan man da bare lave en helt ny?
>
> Det er vist nemmere at gendanne den fra backupen så.
Så kan han få installeret det gamle root password, som han havde
glemt?
Men i øvrigt: Når man kan logge ind men får "authentication failure"
efter at have tastet det nye password ind 2 gange, men UDEN at have
givet det gamle, antyder det så ikke et problem med selve passwordet
(for få tegn, skal indeholde tal og bogstaver, osv.). Bemærk også at
root-login bør være "su -", ellers kan der ske sjove ting med umask
o.l.
--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Kent Friis (18-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 18-07-07 20:00 |
|
Den Mon, 16 Jul 2007 14:54:12 +0200 skrev Peter Dalgaard:
> Jesper Krogh <jesper@krogh.cc> writes:
>
>>> Selvfølgelig skal man undlade at ødelægge den, men får man gjort
>>> det, kan man da bare lave en helt ny?
>>
>> Det er vist nemmere at gendanne den fra backupen så.
>
> Så kan han få installeret det gamle root password, som han havde
> glemt?
>
> Men i øvrigt: Når man kan logge ind men får "authentication failure"
> efter at have tastet det nye password ind 2 gange, men UDEN at have
> givet det gamle, antyder det så ikke et problem med selve passwordet
> (for få tegn, skal indeholde tal og bogstaver, osv.). Bemærk også at
> root-login bør være "su -", ellers kan der ske sjove ting med umask
> o.l.
Umiddelbart ville jeg gætte på at det er et af de andre felter i
shadow-filen han har fået ødelagt - de angiver SVJH ting som hvor
tit man kan / skal skifte sit password.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kent Friis (18-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 18-07-07 19:59 |
|
Den Mon, 16 Jul 2007 12:02:44 +0000 (UTC) skrev Jesper Krogh:
> I dk.edb.system.unix, skrev Klaus Ellegaard:
>> =?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>>
>> >Det var dog en afsindig vejledning, man må ALDRIG editere password
>> >manuelt i /etc/passwd og /etc/shadow.
>>
>> Huh? Det er tekstfiler - ligesom resten af konfigurationsfilerne.
>> Det er altså kun Windows og venner, der har mærkelige regler og
>> uforudsigelige følger af at pille. Den slags sker ikke i UNIX.
>
> Generelt ja.. indtil at begynderen deler / over SMB og skriver
> Windows-linieskift ned i alle filerne
Bare fordi at "/bin/sh^M" ikke findes...
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Mogens Kjaer (16-07-2007)
| Kommentar
Fra : Mogens Kjaer |
Dato : 16-07-07 13:20 |
|
Klaus Ellegaard wrote:
....
> Det eneste sted, hvor man kan få problemer, er hvis flere retter
> i den samme fil på én gang.
vi (eller vim?) plejer at være flink til at fortælle at nogle
andre har rettet i filen når man prøver at gemme. Man kan så
gemme et andet sted og diff'e de to filer og flette ændringerne
sammen.
Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk
| |
Klaus Ellegaard (16-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 16-07-07 13:54 |
|
Mogens Kjaer <mk@crc.dk> writes:
>> Det eneste sted, hvor man kan få problemer, er hvis flere retter
>> i den samme fil på én gang.
>vi (eller vim?) plejer at være flink til at fortælle at nogle
>andre har rettet i filen når man prøver at gemme.
Jeps, men hvis én retter i den med vi, en anden med emacs og en
tredje med pico, så har man tabt
Mvh.
Klaus.
| |
Mogens Kjaer (16-07-2007)
| Kommentar
Fra : Mogens Kjaer |
Dato : 16-07-07 13:58 |
|
Klaus Ellegaard wrote:
> Mogens Kjaer <mk@crc.dk> writes:
>
>>> Det eneste sted, hvor man kan få problemer, er hvis flere retter
>>> i den samme fil på én gang.
>
>> vi (eller vim?) plejer at være flink til at fortælle at nogle
>> andre har rettet i filen når man prøver at gemme.
>
> Jeps, men hvis én retter i den med vi, en anden med emacs og en
> tredje med pico, så har man tabt
Jeg tror ikke at vi bruger noget locking, den ser bare at
tidsstemplet på filen har ændret sig siden den læste filen ind.
Typisk har jeg set det hvis man retter i /etc/shadow og en bruger
samtidigt skifter sit password med passwd kommandoen.
Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk
| |
Thorbjørn Ravn Ander~ (16-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 16-07-07 14:41 |
|
Klaus Ellegaard <klausellegaard@msn.com> writes:
> Jeps, men hvis én retter i den med vi, en anden med emacs og en
> tredje med pico, så har man tabt
Det har man i forvejen hvis der er tre systemdimser hvoraf kun en er
kvalificeret til vi.
Passwd-filen bør kun rettes med vi, så man er i træning den dag hvor
det virkelig brænder.
Historie fra ruder konges tid: Har zappet et rodpassword på en 386BSD
ved at boote fra installationsmediet, og bruge ex til at foretage det
fornødne. Kender man ikke vi og sed, er man ikke rustet til den
situation.
Eventuelle diskusionslystne der vil diskutere emacs og picos
fortrinligheder fremfor vi, vil jeg i denne tråd betegne som
dilletanter og ignorere :)
--
Thorbjørn Ravn Andersen
| |
Klaus Ellegaard (16-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 16-07-07 15:17 |
|
nospam0000@gmail.com (=?iso-8859-1?q?Thorbj=F8rn_Ravn_Andersen?=) writes:
>Det har man i forvejen hvis der er tre systemdimser hvoraf kun en er
>kvalificeret til vi.
Jeg er helt enig, men vi snakker vist private kværne. Jeg kender
ikke så mange "nye" Linux-brugere, der har lyst til at kigge på
så meget andet end GUI.
Der er vist en GUI-version af vim, men den tæller vist ikke
Mvh.
Klaus.
| |
Thorbjørn Ravn Ander~ (16-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 16-07-07 23:04 |
|
Klaus Ellegaard <klausellegaard@msn.com> writes:
> Jeg er helt enig, men vi snakker vist private kværne. Jeg kender
> ikke så mange "nye" Linux-brugere, der har lyst til at kigge på
> så meget andet end GUI.
Et ikke urimeligt ønske. Herudover kan man også sige at hvis man skal
ARBEJDE med skidtet istedet for at pille ved det, bør det være
bedøvende ligegyldigt. Her kunne mange lære af OS X i stedet for
Windows, men det er det folk kender og forventer...
Jaja. Pt kigger jeg på Ubuntu, som spørger ldit for tit om kodeord,
men ellers virker fint.
> Der er vist en GUI-version af vim, men den tæller vist ikke
Det kan man ikke se i en terminalsession... Derudover er vim tæt nok
på vi til at give det kritiske kendskab :)
--
Thorbjørn Ravn Andersen
| |
Kent Friis (18-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 18-07-07 20:07 |
|
Den Mon, 16 Jul 2007 14:17:01 +0000 (UTC) skrev Klaus Ellegaard:
> nospam0000@gmail.com (=?iso-8859-1?q?Thorbj=F8rn_Ravn_Andersen?=) writes:
>
>>Det har man i forvejen hvis der er tre systemdimser hvoraf kun en er
>>kvalificeret til vi.
>
> Jeg er helt enig, men vi snakker vist private kværne. Jeg kender
> ikke så mange "nye" Linux-brugere, der har lyst til at kigge på
> så meget andet end GUI.
Så må de jo bare lade være med at redigere manuelt i /etc/passwd,
("openoffice /etc/passwd"?), og nøjes med at bruge de dertil
indrettede GUI password-tools.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Jørgen Heesche (16-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 16-07-07 15:06 |
|
Klaus Ellegaard wrote:
> =?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>
>> Det var dog en afsindig vejledning, man må ALDRIG editere password
>> manuelt i /etc/passwd og /etc/shadow.
>
> Huh? Det er tekstfiler - ligesom resten af konfigurationsfilerne.
> Det er altså kun Windows og venner, der har mærkelige regler og
> uforudsigelige følger af at pille. Den slags sker ikke i UNIX.
>
> Det eneste sted, hvor man kan få problemer, er hvis flere retter
> i den samme fil på én gang. I gamle dage havde vi vipw specifikt
> til det, men den er vist blevet væk - specielt efter man fandt på
> at passwd faktisk består af to eller flere filer (passwd og en
> form for shadow).
>
> Jeg forstår slet ikke, hvad din skræk for passwd-filen går ud på.
> Selvfølgelig skal man undlade at ødelægge den, men får man gjort
> det, kan man da bare lave en helt ny?
>
Vi taler om et system med krypterede passwords, med krypterings koden i
/etc/shadow. Det er selvfølgelig tilladt at editere /etc/passwd for at
ændre brugernavn, default shell, tilføje nye brugere osv.
Når det drejer sig om password kan man nok uden risiko nulstille
password (replace /x//).
Ved oprettelse af en ny bruger kan måske også indsætte et password,
selvom det nok er bedst at lade feltet stå tomt.
Men /etc/shadow skal man ikke pille ved. I Mandriva kan man forøvrigt
slet ikke:
ls -l /etc/shadow
-r-------- 1 root root 709 Apr 5 13:55 /etc/shadow
Har man glemt root-password kan der defineres et nyt ved at boote i
single-user-mode.
Der bootes i single-user-mode ved at vælge titlen 'failsafe' eller
'recover' i boot-menuen;
i 'gamle dage' kunne man ved boot-prompten angive bootparametren 'single'.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Klaus Ellegaard (16-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 16-07-07 15:28 |
|
Jørgen Heesche <heesche@webspeed.dk> writes:
>> Jeg forstår slet ikke, hvad din skræk for passwd-filen går ud på.
>> Selvfølgelig skal man undlade at ødelægge den, men får man gjort
>> det, kan man da bare lave en helt ny?
>>
>Vi taler om et system med krypterede passwords, med krypterings koden i
>/etc/shadow. Det er selvfølgelig tilladt at editere /etc/passwd for at
>ændre brugernavn, default shell, tilføje nye brugere osv.
Det er da også tilladt at ændre i /etc/shadow. Hvad skulle der
være af problemer i det?
Der er ingen forskel på et "moderne" system og et 20 år gammelt
system - andet end at selve passwordet er flyttet over i shadow.
For 20 år siden var passwordene også krypteret - dog med 3DES i
stedet for MD5 (som nok bliver brugt de fleste "moderne" steder).
Eneste forskel er, at man skal bruge en anden kommando til at
lave det nye, krypterede password, som man kan paste ind i
/etc/shadow med vi.
>Ved oprettelse af en ny bruger kan måske også indsætte et password,
>selvom det nok er bedst at lade feltet stå tomt.
Det er da en farlig metode - så kan enhver jo logge ind som den
bruger, indtil man får snøvlet sig sammen til at give brugeren
et password. Den metode vil jeg ikke anbefale, hvis der på nogen
måde er adgang fra fremmede net.
>Men /etc/shadow skal man ikke pille ved. I Mandriva kan man forøvrigt
>slet ikke:
":w!" i vi - så er der ingen problemer i at rette i den. Der er
heller ingen fornuftige argumenter for at lade være med at pille
i den... forudsat at man har styr på formatet i den.
/etc/shadow er lige så farlig at pille i som /etc/glubske-heste
>Har man glemt root-password kan der defineres et nyt ved at boote i
>single-user-mode.
Eller ved at bruge sudo, hvis man har sat det op. Enten kan man
bruge passwd (forudsat ens policy tillader at ændre roots password
uden at kende det) eller rette direkte i /etc/shadow. I begge disse
tilfælde sparer man et unødigt reboot.
Mvh.
Klaus.
| |
Mogens Kjaer (16-07-2007)
| Kommentar
Fra : Mogens Kjaer |
Dato : 16-07-07 16:40 |
|
Jørgen Heesche wrote:
....
> Men /etc/shadow skal man ikke pille ved. I Mandriva kan man forøvrigt
> slet ikke:
> ls -l /etc/shadow
> -r-------- 1 root root 709 Apr 5 13:55 /etc/shadow
Kan ikke? Root kan alt.
Som root åbner man /etc/shadow, retter, og skriver ud med w!, så
er den ligeglad med at /etc/shadow er 400.
Jeg er sikker på at mine +150 brugere vil blive
Rigtigt Sure (tm) hvis jeg hev serveren i single user mode hver
gang jeg editerer /etc/shadow.
Mogens
--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk
| |
Adam Sjøgren (16-07-2007)
| Kommentar
Fra : Adam Sjøgren |
Dato : 16-07-07 13:06 |
|
On Mon, 16 Jul 2007 11:59:25 +0000 (UTC), Klaus wrote:
> Det eneste sted, hvor man kan få problemer, er hvis flere retter
> i den samme fil på én gang. I gamle dage havde vi vipw specifikt
> til det, men den er vist blevet væk - specielt efter man fandt på
> at passwd faktisk består af to eller flere filer (passwd og en
> form for shadow).
Jeg har fundet den!
# which vipw
/usr/sbin/vipw
#
Mvh.
--
"I wanted a computer, not a glorified fruit machine." Adam Sjøgren
asjo@koldfront.dk
| |
Klaus Ellegaard (16-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 16-07-07 13:53 |
|
asjo@koldfront.dk (Adam Sjøgren) writes:
>Jeg har fundet den!
> # which vipw
> /usr/sbin/vipw
> #
Nu hvor jeg tænker mig om, så havde SunOS 4.1 det vist også med at
"samle" passwords fra /etc/security/passwd.adjunct og proppe dem
ind i den midlertidige fil, så man kunne redigere shadow passwords
som om de stod i /etc/passwd. Når man gemte ændringer, fiskede den
ændringerne ud og proppede dem tilbage i passwd.adjunct.
Med forbehold for at det er 11½ år siden, jeg sidst rørte SunOS,
så virkede vipw faktisk også efter man fik shadow
Mvh.
Klaus.
| |
N/A (16-07-2007)
| Kommentar
Fra : N/A |
Dato : 16-07-07 13:53 |
|
| |
N/A (16-07-2007)
| Kommentar
Fra : N/A |
Dato : 16-07-07 13:53 |
|
| |
Adam Sjøgren (16-07-2007)
| Kommentar
Fra : Adam Sjøgren |
Dato : 16-07-07 17:14 |
|
On Mon, 16 Jul 2007 12:53:20 +0000 (UTC), Klaus wrote:
>> # which vipw
>> /usr/sbin/vipw
(Den ligger i øvrigt i passwd-pakken på mine Debian-maskiner).
> Nu hvor jeg tænker mig om, så havde SunOS 4.1 det vist også med at
> "samle" passwords fra /etc/security/passwd.adjunct og proppe dem
> ind i den midlertidige fil, så man kunne redigere shadow passwords
> som om de stod i /etc/passwd. Når man gemte ændringer, fiskede den
> ændringerne ud og proppede dem tilbage i passwd.adjunct.
Hold da ferie.
Den vi(pw|gr) jeg "fandt" redigerer shadow (passwd|group) hvis man giver
den -s, i øvrigt.
> Med forbehold for at det er 11½ år siden, jeg sidst rørte SunOS, så
> virkede vipw faktisk også efter man fik shadow
Mvh.
--
"I wanted a computer, not a glorified fruit machine." Adam Sjøgren
asjo@koldfront.dk
| |
Jon Loldrup (16-07-2007)
| Kommentar
Fra : Jon Loldrup |
Dato : 16-07-07 19:56 |
|
Jeg har nu haft maskinen i single user mode (init 1) (ikke gennem
opstart - jeg kunne ikke få den til at boote i failsafe/recover, men
gennem en gnome fejlsikret terminal, hvor jeg kunne få lov til at
skrive init 1)
I denne tilstand skrev jeg så:
su -
passwd
hvorefter jeg indtastede mit 8-cifrede password (med store og små
bogstaver, og med tal) to gange. Svar:
authentication failure
Jeg prøvede et par gange, med samme resultat :( ak ak! Er der nogen
der ligger inde med et fif?
mvh Jon Loldrup
| |
Sune Vuorela (16-07-2007)
| Kommentar
Fra : Sune Vuorela |
Dato : 16-07-07 20:01 |
|
On 2007-07-16, Jon Loldrup <loldrup@gmail.com> wrote:
> Jeg prøvede et par gange, med samme resultat :( ak ak! Er der nogen
> der ligger inde med et fif
Hvad med at sætte det der kryds tilbage i /etc/passwd ?
/Sune
| |
Peter Dalgaard (16-07-2007)
| Kommentar
Fra : Peter Dalgaard |
Dato : 16-07-07 21:54 |
|
Sune Vuorela <nospam@vuorela.dk> writes:
> On 2007-07-16, Jon Loldrup <loldrup@gmail.com> wrote:
>> Jeg prøvede et par gange, med samme resultat :( ak ak! Er der nogen
>> der ligger inde med et fif
>
> Hvad med at sætte det der kryds tilbage i /etc/passwd ?
...og check permissions på /etc/shadow.
Ellers så antyder Google at SElinux kan lave denne slags narrestreger.
Fortalte du (Jon, altså) os forresten nogensinde præcis hvilket OS vi
taler om??
--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Jørgen Heesche (17-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 17-07-07 09:42 |
|
Jon Loldrup wrote:
> Jeg har nu haft maskinen i single user mode (init 1) (ikke gennem
> opstart - jeg kunne ikke få den til at boote i failsafe/recover, men
> gennem en gnome fejlsikret terminal, hvor jeg kunne få lov til at
> skrive init 1)
>
> I denne tilstand skrev jeg så:
> su -
> passwd
>
> hvorefter jeg indtastede mit 8-cifrede password (med store og små
> bogstaver, og med tal) to gange. Svar:
>
> authentication failure
>
> Jeg prøvede et par gange, med samme resultat :( ak ak! Er der nogen
> der ligger inde med et fif?
>
Hvid du er i single user mode ER du root; du skal ikke bruge 'su -', det
er dobbeltkonfekt.
Her er der en vejledning til boot til single user mode i CentOS 4.3:
http://www.centos.org/modules/newbb/viewtopic.php?topic_id=5433
Det er et svar på spørgsmålet 'I have lost my system root password'
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Jon Loldrup (17-07-2007)
| Kommentar
Fra : Jon Loldrup |
Dato : 17-07-07 14:07 |
|
On 16 Jul., 22:53, Peter Dalgaard <p.dalga...@biostat.ku.dk> wrote:
> Hvad med at sætte det der kryds tilbage i /etc/passwd ?
Det har jeg nu prøvet. Da kunne jeg ikke SU til root (blev bedt om
password)
> ..og check permissions på /etc/shadow.
De var sat til at root kun havde læserettighed, så jeg tilføjede
skriverettighed. Det hjalp dog ikke.
> Ellers så antyder Google at SElinux kan lave denne slags narrestreger.
Ja jeg tror også at det er SELinux der er på banen og skaber
problemerne.
> Fortalte du (Jon, altså) os forresten nogensinde præcis hvilket OS vi
> taler om??
yes, det var CentOS 4.3. (redhat-klon)
nu har jeg også prøvet at følge denne guide (
http://www.centos.org/modules/newbb/viewtopic.php?topic_id=5433 )
og køre kommandoerne i single user mode ved 'single' argumentet i boot-
menuen.
Det gjorde desværre ingen forskel. Jeg kan blive root, men får igen
authentication failure når jeg vil ændre password.
Jeg tror altså det er SElinux der driller.
mvh Jon
| |
Peter Dalgaard (17-07-2007)
| Kommentar
Fra : Peter Dalgaard |
Dato : 17-07-07 14:52 |
|
Jon Loldrup <loldrup@gmail.com> writes:
> On 16 Jul., 22:53, Peter Dalgaard <p.dalga...@biostat.ku.dk> wrote:
>
>> Hvad med at sætte det der kryds tilbage i /etc/passwd ?
Hov det var nu ikke mig (citatteknik!).
> Det har jeg nu prøvet. Da kunne jeg ikke SU til root (blev bedt om
> password)
>
>> ..og check permissions på /etc/shadow.
>
> De var sat til at root kun havde læserettighed, så jeg tilføjede
> skriverettighed. Det hjalp dog ikke.
Nej -r-------- er det korrekte.
>> Ellers så antyder Google at SElinux kan lave denne slags narrestreger.
>
> Ja jeg tror også at det er SELinux der er på banen og skaber
> problemerne.
>
>> Fortalte du (Jon, altså) os forresten nogensinde præcis hvilket OS vi
>> taler om??
>
> yes, det var CentOS 4.3. (redhat-klon)
>
> nu har jeg også prøvet at følge denne guide (
> http://www.centos.org/modules/newbb/viewtopic.php?topic_id=5433 )
> og køre kommandoerne i single user mode ved 'single' argumentet i boot-
> menuen.
> Det gjorde desværre ingen forskel. Jeg kan blive root, men får igen
> authentication failure når jeg vil ændre password.
> Jeg tror altså det er SElinux der driller.
Prøv at slå SElinux fra, sæt nyt rootpassword, og slå det til igen.
Det var det min Google kilde fik det til at virke med.
Og så husker du selvfølgelig fremover at skrive root-password på en
PostIt-note som du sætter på din skærm, ikke? 
--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Thorbjørn Ravn Ander~ (17-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 17-07-07 20:58 |
|
Peter Dalgaard <p.dalgaard@biostat.ku.dk> writes:
> Og så husker du selvfølgelig fremover at skrive root-password på en
> PostIt-note som du sætter på din skærm, ikke?
Rodpasswords får man fra sårn en WEP-key generator. Så er de unikke
og alting.
Det er mest praktisk i det lange løb hvis man bruger "sudo", men
ellers kan ssh-agent og trusted-keys gøre en del, hvis man har en
sikker laptop fx.
--
Thorbjørn Ravn Andersen
| |
Jørgen Heesche (17-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 17-07-07 15:23 |
|
Jon Loldrup wrote:
> On 16 Jul., 22:53, Peter Dalgaard <p.dalga...@biostat.ku.dk> wrote:
>
>> Hvad med at sætte det der kryds tilbage i /etc/passwd ?
>
> Det har jeg nu prøvet. Da kunne jeg ikke SU til root (blev bedt om
> password)
>
>> ..og check permissions på /etc/shadow.
>
> De var sat til at root kun havde læserettighed, så jeg tilføjede
> skriverettighed. Det hjalp dog ikke.
>
>> Ellers så antyder Google at SElinux kan lave denne slags narrestreger.
>
> Ja jeg tror også at det er SELinux der er på banen og skaber
> problemerne.
>
>> Fortalte du (Jon, altså) os forresten nogensinde præcis hvilket OS vi
>> taler om??
>
> yes, det var CentOS 4.3. (redhat-klon)
>
> nu har jeg også prøvet at følge denne guide (
> http://www.centos.org/modules/newbb/viewtopic.php?topic_id=5433 )
> og køre kommandoerne i single user mode ved 'single' argumentet i boot-
> menuen.
> Det gjorde desværre ingen forskel. Jeg kan blive root, men får igen
> authentication failure når jeg vil ændre password.
> Jeg tror altså det er SElinux der driller.
>
Det er næppe SElinux eller CentOS der 'driller', årsagen til dine
problemer skyldes sikkert en 'ødelagt' /etc/shadow.
Det er ikke for ingenting at shadow kun har læserettighed for root og
ingen skriverettigheder overhovedet. Det betyder at man ikke skal
editere filen manuelt, selvom man i vi godt kan forcere skrivning i filen.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Klaus Ellegaard (17-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 17-07-07 15:28 |
|
=?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>Det er ikke for ingenting at shadow kun har læserettighed for root og
>ingen skriverettigheder overhovedet.
Nej, det skyldes, at den ikke skal kunne læses eller overskrives
på andre tidspunkter, end når man "med vilje" redigerer den.
Mvh.
Klaus.
| |
Thorbjørn Ravn Ander~ (17-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 17-07-07 21:00 |
|
Klaus Ellegaard <klausellegaard@msn.com> writes:
> Nej, det skyldes, at den ikke skal kunne læses eller overskrives
> på andre tidspunkter, end når man "med vilje" redigerer den.
Forventes det ikke at det kun er passwd der piller ved den? Sårn rent
praktisk?
--
Thorbjørn Ravn Andersen
| |
Jørgen Heesche (17-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 17-07-07 21:42 |
|
Thorbjørn Ravn Andersen wrote:
> Klaus Ellegaard <klausellegaard@msn.com> writes:
>
>> Nej, det skyldes, at den ikke skal kunne læses eller overskrives
>> på andre tidspunkter, end når man "med vilje" redigerer den.
>
> Forventes det ikke at det kun er passwd der piller ved den? Sårn rent
> praktisk?
Ja, det er da klart!. Man skal ikke 'med vilje' rette direkte i
shadow-filen, det er forbeholdt password systemet. Al redigering af
shadow sker via passwd.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Klaus Ellegaard (17-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 17-07-07 22:19 |
|
=?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>Ja, det er da klart!. Man skal ikke 'med vilje' rette direkte i
>shadow-filen, det er forbeholdt password systemet. Al redigering af
>shadow sker via passwd.
Hvordan forklarer du så tilstedeværelsen af setspent(3)?
Mvh.
Klaus.
| |
Jørgen Heesche (18-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 18-07-07 12:47 |
|
Klaus Ellegaard wrote:
> =?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>
>> Ja, det er da klart!. Man skal ikke 'med vilje' rette direkte i
>> shadow-filen, det er forbeholdt password systemet. Al redigering af
>> shadow sker via passwd.
>
> Hvordan forklarer du så tilstedeværelsen af setspent(3)?
>
Jeg forklarer ikke tilstedeværelsen af setspent(3), den manpage findes
ikke i mit system.
Når jeg siger at man ikke retter direkte i /etc/shadow, mener jeg at det
ikke kan gøres med VI, fordi VI ikke kan kryptere password. Men hvis der
er adgang til systemets password rutiner er det selvfølgelig en anden
sag. Den adgang, kan jeg nu se, findes i /usr/include/shadow.h, som kan
inkluderes i et C-program.
Jeg har fundet en Linux Shadow Password HOWTO
http://tldp.org/HOWTO/Shadow-Password-HOWTO.html
som jeg nu vil kigge nærmere på.
Når det er gået helt galt for Jon Loldrup at definere et ny root
password, skyldes det en vejledning
http://brunolinux.com/01-First_Things_To_Know/Lost_Root_Password.html
som henviser til at bruge VI.
CITAT:
# vi shadow
( open the file )
< i > ( insert mode )
The first line is a long scrambled line of characters, just make it:
root:::: ( four colons ! )
CITAT SLUT.
Det undrer mig at der foreskrives insert mode uden at det direkte
forklares at den originale linie skal slettes.
Måske har Jon nu 2 root-linier i shadow?
root::::
og den originale
root:osv.
Det under mig også man siger der skal være fire kolonner.
I min shadow er det otte kolonner.
F.eks.
lp:*:13252:0:99999:7:::
Hvlket svarer til at 'man shadow' viser at en linie, udover login navn
og krypteret password, kan angive 7 andre parametre.
Det er heller ikke sikkert at det var nødvendigt at rette i shadow; det
var måske tilstrækkeligt at nulstille password i /etc/passwd, og dermed
fjerne henvisningen til shadow.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Klaus Ellegaard (18-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 18-07-07 15:00 |
|
=?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>Når jeg siger at man ikke retter direkte i /etc/shadow, mener jeg at det
>ikke kan gøres med VI, fordi VI ikke kan kryptere password.
Det gør man da bare selv.
Personligt bruger jeg: perl -e 'print crypt("password","yy")'
Det bruger så bare crypt(3), men det er også et hit til de Sun-
og HP-systemer, jeg administrerer. Man kan lave noget lignende
til systemer med andre algoritmer.
>Men hvis der
>er adgang til systemets password rutiner er det selvfølgelig en anden
>sag.
Prøv "man 3 putspent" - og bemærk at spwd-struct'en også forventer,
at du selv leverer et krypteret password. Det er altså ikke en
"indbygget service".
>CITAT:
># vi shadow
>( open the file )
>< i > ( insert mode )
>The first line is a long scrambled line of characters, just make it:
>root:::: ( four colons ! )
>CITAT SLUT.
Det lyder som om vejledningen er til et gammelt system. Det er jo
ikke sikkert, at dét stadig virker. Men selve processen med at vi'e
shadow-filen er der intet galt med.
Det er klart, at man kan gøre grimme ting, hvis man ikke véd, hvad
man laver. Men det kan man jo også gøre med grub. Så det er (mindst)
lige så farligt at rode med grub, som det er at vi'e shadow-filen.
Mvh.
Klaus.
| |
Jørgen Heesche (18-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 18-07-07 15:37 |
|
Klaus Ellegaard wrote:
> =?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
SKIP
>
> Personligt bruger jeg: perl -e 'print crypt("password","yy")'
>
> Det bruger så bare crypt(3), men det er også et hit til de Sun-
> og HP-systemer, jeg administrerer. Man kan lave noget lignende
> til systemer med andre algoritmer.
>
SKIP
>
> Prøv "man 3 putspent" - og bemærk at spwd-struct'en også forventer,
> at du selv leverer et krypteret password. Det er altså ikke en
> "indbygget service".
>
Jeg har ikke nogen af de nævnte section-3 sider, man jeg har findet dem her:
http://www.opensourcemanuals.org/manual/index/3
SKIP
> Det lyder som om vejledningen er til et gammelt system. Det er jo
> ikke sikkert, at dét stadig virker. Men selve processen med at vi'e
> shadow-filen er der intet galt med.
>
> Det er klart, at man kan gøre grimme ting, hvis man ikke véd, hvad
> man laver. Men det kan man jo også gøre med grub. Så det er (mindst)
> lige så farligt at rode med grub, som det er at vi'e shadow-filen.
>
Ja, det er helt sikkert, man skal vide hvad man gør.
Hvis ovennævnte vejledning er forældet, er det nok derfor Jon er kommet
galt af sted.
Den "korrekte" metode til at redde et glemt root password er at definere
et nyt fra single user mode. Det ser dog ud tll at Jon's CentOS ikke har
den bootoption, men så kunne det nok være muligt at gøre det med Knoppix
eller en anden livecd.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Sune Vuorela (18-07-2007)
| Kommentar
Fra : Sune Vuorela |
Dato : 18-07-07 15:40 |
|
On 2007-07-18, Jørgen Heesche <heesche@webspeed.dk> wrote:
> Den "korrekte" metode til at redde et glemt root password er at definere
> et nyt fra single user mode. Det ser dog ud tll at Jon's CentOS ikke har
Eh? På de linuxer jeg oftest bruger skal man bruge rootpasswordet for at
komme i single user mode.
Hvad gør jeg så ?
/Sune
ps.: Hint: init=/bin/sh
| |
Jørgen Heesche (18-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 18-07-07 21:08 |
|
Sune Vuorela wrote:
> On 2007-07-18, Jørgen Heesche <heesche@webspeed.dk> wrote:
>> Den "korrekte" metode til at redde et glemt root password er at definere
>> et nyt fra single user mode. Det ser dog ud tll at Jon's CentOS ikke har
>
> Eh? På de linuxer jeg oftest bruger skal man bruge rootpasswordet for at
> komme i single user mode.
> Hvad gør jeg så ?
>
Jeg taler om at boote i single user mode.
Før i tiden fik man altid et boot prompt
boot:
Her skulle så trykkes på RETURN for at fortsætte booten. Før RETURN
kunne tastes en bootparameter. Parameteren 'single' gav en boot i single
user mode, og så var man bare root.
I en 'moderne' linux blliver man præsenteret for en bootmenu, hvor en af
titlerne giver en boot i single user mode.
I grub i Mandriva ser det sådan ud:
title failsafe
kernel (hd0,6)/boot/vmlinuz root=/dev/hda7 failsafe resume=/dev/hda6
initrd (hd0,6)/boot/initrd.img
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Kent Friis (18-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 18-07-07 21:14 |
|
Den Wed, 18 Jul 2007 20:07:30 +0000 skrev Jørgen Heesche:
> Sune Vuorela wrote:
>> On 2007-07-18, Jørgen Heesche <heesche@webspeed.dk> wrote:
>>> Den "korrekte" metode til at redde et glemt root password er at definere
>>> et nyt fra single user mode. Det ser dog ud tll at Jon's CentOS ikke har
>>
>> Eh? På de linuxer jeg oftest bruger skal man bruge rootpasswordet for at
>> komme i single user mode.
>> Hvad gør jeg så ?
>>
> Jeg taler om at boote i single user mode.
> Før i tiden fik man altid et boot prompt
> boot:
> Her skulle så trykkes på RETURN for at fortsætte booten. Før RETURN
> kunne tastes en bootparameter. Parameteren 'single' gav en boot i single
> user mode, og så var man bare root.
Men i slutningen af 1990'erne gik det op for folk at det var en
tand for usikkert, og siden har single user mode startet med:
Enter root password for single user mode, or press ctrl-d for normal boot:
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Jørgen Heesche (18-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 18-07-07 21:50 |
|
Kent Friis wrote:
> Den Wed, 18 Jul 2007 20:07:30 +0000 skrev Jørgen Heesche:
>> Sune Vuorela wrote:
>>> On 2007-07-18, Jørgen Heesche <heesche@webspeed.dk> wrote:
>>>> Den "korrekte" metode til at redde et glemt root password er at definere
>>>> et nyt fra single user mode. Det ser dog ud tll at Jon's CentOS ikke har
>>> Eh? På de linuxer jeg oftest bruger skal man bruge rootpasswordet for at
>>> komme i single user mode.
>>> Hvad gør jeg så ?
>>>
>> Jeg taler om at boote i single user mode.
>> Før i tiden fik man altid et boot prompt
>> boot:
>> Her skulle så trykkes på RETURN for at fortsætte booten. Før RETURN
>> kunne tastes en bootparameter. Parameteren 'single' gav en boot i single
>> user mode, og så var man bare root.
>
> Men i slutningen af 1990'erne gik det op for folk at det var en
> tand for usikkert, og siden har single user mode startet med:
>
> Enter root password for single user mode, or press ctrl-d for normal boot:
>
Ved valg af boot title 'failsafe' i Mandriva 2006 kommer man lige i
single user mode som root uden at blive afkrævet password. Det er kun
når en normal boot går i stå pga. fejl, at der bliver forlangt password,
så der er mulighed for at rette fejlen.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Klaus Ellegaard (18-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 18-07-07 21:37 |
|
Jørgen Heesche <heesche@webspeed.dk> writes:
>Jeg taler om at boote i single user mode.
Det gør Sune også. De fleste UNIX'er kræver root-password, før du
får en single-user prompt.
Kører du f.eks. en "boot -s" på Solaris, ender den med at sige:
| INIT: SINGLE USER MODE
|
| Type Ctrl-d to proceed with normal startup,
| (or give root password for system maintenance):
Så at boote til single-user hjælper altså ikke, hvis man har glemt
root's password. Jeg mener i øvrigt, at SuSE Enterprise Linux gør
det samme.
Jeg kan i øvrigt godt lide den ide: at enhver ikke bare kan gå hen
til konsollen, boote, og så være root. Det er ret elendig sikkerhed.
Tricket på Solaris er at lave en single-user boot fra cd eller
via netværket fra et Jumpstart/Jet setup. Det giver én en lille
RAM-disk-baseret mini-Solaris. Herfra kan man mounte sin rootdisk
(typisk under /a), gå ned i /a/etc og vi'e shadow-filen.
Som udgangspunkt nytter det ikke noget at bruge passwd-kommandoen,
for den vil rette i /etc/shadow, som ligger på RAM-disken. Det er
jo /a/etc/shadow, der er vores "rigtige" fil.
Bevares, så kan man "chroot /a" først, men det forudsætter så, at
cd'en ikke er alt for langt fra OS'ets version. Da vil man f.eks.
loade maskinens libc, som ikke nødvendigvis passer til cd-kernen.
Det er klart, at sikkerheden her heller ikke er i top. Har man
adgang til en Solaris cd og konsollen, kan man også blive root.
Men det kræver dog en del mere tankevirksomhed end bare at vælge
det rigtige menupunkt i grub. Og frem for alt tager det så lang
tid (Solaris er evigheder om at boote fra cd), at risikoen for
at blive opdaget er meget større.
Det er nok via erfaringen med disse systemer, at man lærer, at
det i mange tilfælde er både smartest og nemmest at rode direkte
i filerne... også selvom der findes værktøjer til at gøre det med.
Men som altid med UNIX: det kræver, at man kan overskue følgerne!
Mvh.
Klaus.
| |
Kent Friis (18-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 18-07-07 22:42 |
|
Den Wed, 18 Jul 2007 20:36:36 +0000 (UTC) skrev Klaus Ellegaard:
>
> Tricket på Solaris er at lave en single-user boot fra cd eller
> via netværket fra et Jumpstart/Jet setup. Det giver én en lille
> RAM-disk-baseret mini-Solaris. Herfra kan man mounte sin rootdisk
> (typisk under /a), gå ned i /a/etc og vi'e shadow-filen.
>
> Det er klart, at sikkerheden her heller ikke er i top. Har man
> adgang til en Solaris cd og konsollen, kan man også blive root.
.... Og PROM er sat op til at tillade boot på CD uden password.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Rene Joergensen (19-07-2007)
| Kommentar
Fra : Rene Joergensen |
Dato : 19-07-07 08:03 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> Jeg kan i øvrigt godt lide den ide: at enhver ikke bare kan gå hen
> til konsollen, boote, og så være root. Det er ret elendig sikkerhed.
På Linux tilføjer du bare "single init=/bin/sh" og så er du root når den
booter
Derefter mount -o remount,rw / og så er du kørende ..
--
-René
| |
Kent Friis (19-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 19-07-07 08:45 |
|
Den 19 Jul 2007 07:02:47 GMT skrev Rene Joergensen:
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
>> Jeg kan i øvrigt godt lide den ide: at enhver ikke bare kan gå hen
>> til konsollen, boote, og så være root. Det er ret elendig sikkerhed.
>
> På Linux tilføjer du bare "single init=/bin/sh" og så er du root når den
> booter
Hvis systemet kunne tænke, ville den sige "kan du bestemme dig?"
- "single" angiver at init skal starte i runlevel s / 1, og
init=/bin/sh angiver at den skal starte en shell i stedet for
init.
Det er iøvrigt derfor man har sin bootloader sat op til at spørge
om password hvis nogen forsøger at angive ekstra parametre.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Andreas Plesner Jaco~ (19-07-2007)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 19-07-07 08:48 |
|
On 2007-07-19, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>> Jeg kan i øvrigt godt lide den ide: at enhver ikke bare kan gå hen
>>> til konsollen, boote, og så være root. Det er ret elendig sikkerhed.
>>
>> På Linux tilføjer du bare "single init=/bin/sh" og så er du root når den
>> booter
>
> Hvis systemet kunne tænke, ville den sige "kan du bestemme dig?"
> - "single" angiver at init skal starte i runlevel s / 1, og
> init=/bin/sh angiver at den skal starte en shell i stedet for
> init.
Og dit system ved at /bin/sh ikke forstår sig på runlevels?
--
Andreas
| |
Kent Friis (19-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 19-07-07 08:58 |
|
Den Thu, 19 Jul 2007 07:48:00 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2007-07-19, Kent Friis <nospam@nospam.invalid> wrote:
>>>
>>>> Jeg kan i øvrigt godt lide den ide: at enhver ikke bare kan gå hen
>>>> til konsollen, boote, og så være root. Det er ret elendig sikkerhed.
>>>
>>> På Linux tilføjer du bare "single init=/bin/sh" og så er du root når den
>>> booter
>>
>> Hvis systemet kunne tænke, ville den sige "kan du bestemme dig?"
>> - "single" angiver at init skal starte i runlevel s / 1, og
>> init=/bin/sh angiver at den skal starte en shell i stedet for
>> init.
>
> Og dit system ved at /bin/sh ikke forstår sig på runlevels?
Hvis ovenstående virker, burde det faktisk betyde det, for SVJH bliver
"single" sendt med som parameter til init - og hvis den parameter
bliver sendt med til /bin/sh, vil shell'en forsøge at køre et
script ved navn "single" i stedet for at give en interaktiv shell.
Så "single" må blive sorteret fra når man bruger init= parameteren.
Men uanset så er det spild af tid at skrive en parameter til init,
når man ikke starter init.
(Der er vist også andre ting der bliver gjort anderledes når man bruger
den, sidst jeg prøvede startede sh som pid 3-4 stykker, hvorimod init
skal gøre som pid 1. Hvilket gjorde at det ikke var muligt at afslutte
shell'en med "exec /sbin/init" og få systemet til at boote normalt).
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Jørgen Heesche (19-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 19-07-07 10:34 |
|
Klaus Ellegaard wrote:
SKIP
>
> Jeg kan i øvrigt godt lide den ide: at enhver ikke bare kan gå hen
> til konsollen, boote, og så være root. Det er ret elendig sikkerhed.
>
Er det ikke lidt paranoidt at være bange for at der render sabotører
rundt og ødelægger systemerne?.
Jeg synes det er fint, at der i bootmenuen tilbydes en sigle-user-boot;
hvis man er ked af det kan man da bare slette det menupunkt.
SKIP
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Thorbjørn Ravn Ander~ (19-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 19-07-07 10:45 |
|
Jørgen Heesche <heesche@webspeed.dk> writes:
> Er det ikke lidt paranoidt at være bange for at der render sabotører
> rundt og ødelægger systemerne?.
Det kommer an på hvor attraktivt det er at hakke systemerne.
Til maskiner der skal stå fremme så "alle og enhver" kan bruge dem,
ville jeg også overveje drastiske tiltag.
--
Thorbjørn Ravn Andersen
| |
Jørgen Heesche (19-07-2007)
| Kommentar
Fra : Jørgen Heesche |
Dato : 19-07-07 12:27 |
|
Thorbjørn Ravn Andersen wrote:
> Jørgen Heesche <heesche@webspeed.dk> writes:
>
>> Er det ikke lidt paranoidt at være bange for at der render sabotører
>> rundt og ødelægger systemerne?.
>
> Det kommer an på hvor attraktivt det er at hakke systemerne.
>
> Til maskiner der skal stå fremme så "alle og enhver" kan bruge dem,
> ville jeg også overveje drastiske tiltag.
Javist, men et firma stoler vel på sit personale?.
Hvis der med "alle og enhver" tænkes på folk der kommer lige ind fra
gaden er der noget galt med firmaets generelle sikkerhedsystem.
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@webspeed.dk
| |
Kent Friis (19-07-2007)
| Kommentar
Fra : Kent Friis |
Dato : 19-07-07 12:33 |
|
Den Thu, 19 Jul 2007 11:27:11 +0000 skrev Jørgen Heesche:
> Thorbjørn Ravn Andersen wrote:
>> Jørgen Heesche <heesche@webspeed.dk> writes:
>>
>>> Er det ikke lidt paranoidt at være bange for at der render sabotører
>>> rundt og ødelægger systemerne?.
>>
>> Det kommer an på hvor attraktivt det er at hakke systemerne.
>>
>> Til maskiner der skal stå fremme så "alle og enhver" kan bruge dem,
>> ville jeg også overveje drastiske tiltag.
> Javist, men et firma stoler vel på sit personale?.
> Hvis der med "alle og enhver" tænkes på folk der kommer lige ind fra
> gaden er der noget galt med firmaets generelle sikkerhedsystem.
Der kunne fx menes internet-cafeer, Fona og lignende steder hvor
kunderne kan gå hen og pille ved maskinerne. Hvis man ikke har lyst
til at geninstallere hver gang der har været en pilfinger forbi, er
et fornuftigt sikkerhedssystem en god ide.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (19-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 19-07-07 13:30 |
|
=?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>> Til maskiner der skal stå fremme så "alle og enhver" kan bruge dem,
>> ville jeg også overveje drastiske tiltag.
>Javist, men et firma stoler vel på sit personale?.
I så fald burde alle jo bare logge ind som root, og alle burde have
fri adgang til firmaets bankkonti...
Mvh.
Klaus.
| |
Thorbjørn Ravn Ander~ (19-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 19-07-07 17:37 |
|
Klaus Ellegaard <klausellegaard@msn.com> writes:
> I så fald burde alle jo bare logge ind som root, og alle burde have
> fri adgang til firmaets bankkonti...
Det tror jeg jeg vil foreslå. "Jeg hæver lige lønnen selv, ikke?"
--
Thorbjørn Ravn Andersen
| |
Klaus Ellegaard (19-07-2007)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 19-07-07 14:16 |
|
=?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@webspeed.dk> writes:
>> Til maskiner der skal stå fremme så "alle og enhver" kan bruge dem,
>> ville jeg også overveje drastiske tiltag.
>Javist, men et firma stoler vel på sit personale?.
Jeg vil egentlig gerne uddybe den lidt mere... og nu bliver det lidt
kedeligt, hvis man tænker på systemadministration som noget, der sker
i et terminalvindue. (Hvilket så er en meget forældet opfattelse)
Som følge af Enron og de øvrige skandaler i USA, fandt to Sarbanes
og Oxley på en lov, der officielt hedder "Public Company Accounting
Reform and Investor Protection Act", men som også kaldes "SOX" eller
"Sarbanes-Oxley".
Den handler primært om revision, men der er også IT-revision i den.
Man kan læse en del om det på Wikipedia:
http://en.wikipedia.org/wiki/Sarbanes-oxley#Impact_of_SOX_on_the_Corporate_IT_Department
Auditing kræver for det meste, at man kan henføre den enkelte
"action" til en given person - eller i det mindste en ansvarlig
gruppe. Hvis der ikke er 100% styr på, hvem der præcis har gjort
hvad og hvornår, kan man ikke tilfredsstille en audit.
Og dét er igen svært, hvis man ikke præcis véd, hvem der har
(adgang til at) boote en kværn, og hvad der er sket mens kværnen
var i singleuser uden auditing slået til.
Hvis man er ude i, at "alle og enhver" kan gå forbi, boote i failsafe,
gøre "noget" og boote igen... så har man et audit-mæssigt mareridt,
når man manuelt skal tjekke alle teoretisk mulige transaktioner i den
periode.
Man kan ikke læne sig tilbage og sige, at det kun er for amerikanske
selskaber. Alle selskaber på de amerikanske børser er også underlagt
SOX. og EU er på vej med deres egen, lignende lov, som skal træde i
kraft senest næste sommer. Det hedder officielt 2006/43/EC - men i
daglig tale kaldes det E-SOX.
Omvendt er der selvfølgelig en nedre bagatelgrænse. Og for kværne
i privaten er det aldeles irrelevant. Men bare at sige, "det tørrer
nok" i firma-sammenhæng - det er simpelthen ikke godt nok.
Mvh.
Klaus.
| |
Thorbjørn Ravn Ander~ (19-07-2007)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 19-07-07 17:36 |
|
Jørgen Heesche <heesche@webspeed.dk> writes:
> > Det kommer an på hvor attraktivt det er at hakke systemerne.
> > Til maskiner der skal stå fremme så "alle og enhver" kan bruge dem,
> > ville jeg også overveje drastiske tiltag.
> Javist, men et firma stoler vel på sit personale?.
Jovist, men hvor er der nævnt "firma"i ovenstående?
> Hvis der med "alle og enhver" tænkes på folk der kommer lige ind fra
> gaden er der noget galt med firmaets generelle sikkerhedsystem.
Tjah, jeg tænkte terminalrum men især diverse kiosksystemer.
Og den slags ting. Du ved, infostandere.
--
Thorbjørn Ravn Andersen
| |
Adam Sjøgren (17-07-2007)
| Kommentar
Fra : Adam Sjøgren |
Dato : 17-07-07 15:23 |
|
On Tue, 17 Jul 2007 15:52:25 +0200, Peter wrote:
> Og så husker du selvfølgelig fremover at skrive root-password på en
> PostIt-note som du sætter på din skærm, ikke?
Det er absolut ikke sikkert!
Sæt den under tastaturet i stedet.
Mvh.
--
"Actually I counted 37 installs/reformats, but I did Adam Sjøgren
it. I installed gentoo succesfully with the help of asjo@koldfront.dk
this forum, and the use of my brain."
| |
Adam Sjøgren (17-07-2007)
| Kommentar
Fra : Adam Sjøgren |
Dato : 17-07-07 16:05 |
|
On Tue, 17 Jul 2007 14:48:19 +0000, Jørgen wrote:
> Adam Sjøgren wrote:
>> On Tue, 17 Jul 2007 15:52:25 +0200, Peter wrote:
>>> Og så husker du selvfølgelig fremover at skrive root-password på en
>>> PostIt-note som du sætter på din skærm, ikke?
>> Det er absolut ikke sikkert!
>> Sæt den under tastaturet i stedet.
> Der kan 'ondsindede' personer sikkert godt finde på at lede, hvad med
> at bruge en pinkodehusker?.
Du må have spist søm, alle véd da at de er designet af Marsmænd og kan
aflæses med ultralyd.
Mvh.
--
"Ok, so we didn't learn any big lesson. Sue me." Adam Sjøgren
"Live and don't learn, that's us." asjo@koldfront.dk
| |
Michael Rasmussen (19-07-2007)
| Kommentar
Fra : Michael Rasmussen |
Dato : 19-07-07 09:05 |
|
On 19 Jul 2007 07:57:57 GMT
Kent Friis <nospam@nospam.invalid> wrote:
>
> Hvis ovenstående virker, burde det faktisk betyde det, for SVJH bliver
> "single" sendt med som parameter til init - og hvis den parameter
> bliver sendt med til /bin/sh, vil shell'en forsøge at køre et
> script ved navn "single" i stedet for at give en interaktiv shell.
> Så "single" må blive sorteret fra når man bruger init= parameteren.
> Men uanset så er det spild af tid at skrive en parameter til init,
> når man ikke starter init.
>
De fleste moderne distro'er anvender initrd, hvorfor single og
init=/bin/sh giver glimrende mening. single til initrd og init=/bin/sh
til boot loaderen. Ubuntu f.eks. fordrer både single og init=/bin/sh
for at få den ønskede effekt.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.
| |
|
|