administrator - da sie ?
Birdy
Da sie w systemie Linux zalozyc drugie konto administratora o innym
loginie niz root i innym hasle niz root ? (czyli niezalezne drugie konto
administratora). Zmieniajac uid oraz guid udalo mi sie osiagnac taki
efekt, ze powstaje drugie konto jednak zmiana hasla powoduje rowniez
zmiane hasla na koncie root.
Wielkie dzieki za pomoc.
Pozdrawiam. Birdy
T.M.F.
Trzeba mu zmienic wlasnie numer uzytkownika na 0. Przypuszczam, ze
passwd ma blad i zmienia haslo pierwszemu uzytkownikowi o id=0, wiec
pozostaje ci wpisac haslo recznie do pliku shadow.
--
Every time I try to do something in Windows, I'm reminded why I hate it!!!
Birdy
> passwd ma blad i zmienia haslo pierwszemu uzytkownikowi o id=0, wiec
> pozostaje ci wpisac haslo recznie do pliku shadow.
Ale tam hasla sa zakodowane. Przeciez nie wpisze tego w postaci jawnej.
Twoja teoria jest ciekawa. Uwazasz, ze haslo ulega zmianie dla pierwszego
uzytkownika
z id=0, a nie dla wszystkich ktorzy maja id=0 ?
Pozdrawiam. Birdy
T.M.F.
> Twoja teoria jest ciekawa. Uwazasz, ze haslo ulega zmianie dla pierwszego
> uzytkownika
> z id=0, a nie dla wszystkich ktorzy maja id=0 ?
>
Moze sie myle, ale latwo to sprawdzic :)
Mysle, ze passwd nie moze inaczej dzialac, bo nazwa uzytkownika jest
tworzona na podstawie id, a nie odwrotnie. Wiec masz przyporzadkowane 2
nazwy do tego samego id. Niech mnie ktos poprawi jesli sie myle.
Co do hasla - najprosciej spisac zakodowane z pliku shadow, nastepnie
zmieniasz za pomoca passwd i masz drugie haslo zakodowane. Teraz
wpisujesz odpowiednie hashe tam gdize trzeba i juz masz ustawione hasla
dla kazdego z rootow :)
Birdy
Sprawdzisz ? - bo nie chcialbym rozwalic sobie serwerka popelniajac jakis
prosty blad :)
> Mysle, ze passwd nie moze inaczej dzialac, bo nazwa uzytkownika jest
> tworzona na podstawie id, a nie odwrotnie. Wiec masz przyporzadkowane 2
> nazwy do tego samego id. Niech mnie ktos poprawi jesli sie myle.
> Co do hasla - najprosciej spisac zakodowane z pliku shadow, nastepnie
> zmieniasz za pomoca passwd i masz drugie haslo zakodowane. Teraz
> wpisujesz odpowiednie hashe tam gdize trzeba i juz masz ustawione hasla
> dla kazdego z rootow :)
A nie lepiej w ten sposob:
a) zakladam usera: adduser kowalski - na pytanie o passwd wpisuje jakies
haslo.
b) wchodze do /etc/passwd i zmieniam userowi uid i gid na 0.
c) zapisuje zmiany i powinienen chyba miec kolejne konto root'a.
Problem pojawia sie gdybym chcial zmienic jego haslo.
Mam tez pewne obawy jesli chodzi o bezpieczenstwo systemu Linux jesli byloby
tak jak
napisales. Konto root jest zawsze jako pierwsze w /etc/passwd. Zalozmy, ze
mam
1000 userow ... a user 739 ma rowniez uid u gid na 0. Teraz zwalniaja mnie z
pracy
i przychodzi ktos nowy i rozpoczyna administracje serwerem. Przekazuje mu
haslo root'a,
on siada i od razu zmienia haslo root'a. Tymczasem ja wracam do domu loguje
sie na
swojego usera-administratora (739) daje polecenia passwd po czym zmieniam
haslo dla root'a -
zarazem nie zmieniajac hasla swojego.
Dobrze rozumuje ?
Pozdrawiam. Birdy
T.M.F.
>>Moze sie myle, ale latwo to sprawdzic :)
>
> Sprawdzisz ? - bo nie chcialbym rozwalic sobie serwerka popelniajac jakis
> prosty blad :)
>
Leniwy jestem :)
> A nie lepiej w ten sposob:
Lepiej, ale jak sam zauwazyles, potem trudno zmienic haslo:) Nozna
oczywiscie zmienic mu id na jakies wolne
> Mam tez pewne obawy jesli chodzi o bezpieczenstwo systemu Linux jesli byloby
> tak jak
> napisales. Konto root jest zawsze jako pierwsze w /etc/passwd. Zalozmy, ze
> mam
> 1000 userow ... a user 739 ma rowniez uid u gid na 0. Teraz zwalniaja mnie z
> pracy
> i przychodzi ktos nowy i rozpoczyna administracje serwerem. Przekazuje mu
> haslo root'a,
> on siada i od razu zmienia haslo root'a. Tymczasem ja wracam do domu loguje
> sie na
> swojego usera-administratora (739) daje polecenia passwd po czym zmieniam
> haslo dla root'a -
> zarazem nie zmieniajac hasla swojego.
> Dobrze rozumuje ?
Tak, dobrze. Ale problem, ktory zauwazyles jest bardziej ogolnej natury.
Bedac adminem zawsze mogles wprowadzic jakiegos backdoora, albo 1000
innych sposobow na zalogowanie sie jako root w systemie, ktorym do tej
pory administrowales.
news.onet.pl
Użytkownik "Birdy" <mar...@spychala.zsem.pl> napisał w wiadomości
news:bkjlcl$glu$1...@atlantis.news.tpi.pl...
Proponuje program sudo do przekazywania obowiazkow administratora innym
root ALL=(ALL) ALL
luzer ALL=(ALL) ALL
i juz
pozdrawiam
Birdy
jakis
> > prosty blad :)
> Leniwy jestem :)
Czyli nie sprawdzisz ? ;)
> > A nie lepiej w ten sposob:
> Lepiej, ale jak sam zauwazyles, potem trudno zmienic haslo:) Nozna
> oczywiscie zmienic mu id na jakies wolne
Haslo mozna wtedy zmienic metoda opisana przez Ciebie.
A co do wolnego ID to czy nie jest przypadkiem tak ze kazdy inny ID poza 0
nie jest jzu kontem root'a ?
> Tak, dobrze. Ale problem, ktory zauwazyles jest bardziej ogolnej natury.
> Bedac adminem zawsze mogles wprowadzic jakiegos backdoora, albo 1000
> innych sposobow na zalogowanie sie jako root w systemie, ktorym do tej
> pory administrowales.
Az 1000 sposobow ... mozesz mi podac chociaz jeden pewny i dobrze dzialajacy
?
Pozdrawiam. Birdy
Birdy
> root ALL=(ALL) ALL
> luzer ALL=(ALL) ALL
Nie znam tego oprogramowania - powiedz czy jesli zastosuje sudo to zmiana
hasel
dla takich "dodatkowych adminow" bedzie niezalezna od glownego konta root
i pozostalych ?
Pozdrawiam. Birdy
T.M.F.
Sudo to program umozliwiajacy wykonywanie wybranych czynnosci
administracyjnych innym uzytkownikom, ktorzy nie maja uprawnien root.
W tym kontekscie to byl paskudny zart autora, sugerujacy abys wszystkim
dal uprawnienia roota :)
T.M.F.
>>
>>Leniwy jestem :)
>
> Czyli nie sprawdzisz ? ;)
>
Dzisiaj mamy w Katowicach biesiade piwna, zaraz sie wybieram :)
Jak wroce i bede w jako takiej formie;) to to sprawdze.
Poki co widze, ze samo passwd do pam przekazuje prawidlowo username i
haslo. Wiec jesli blad opisywany przez ciebie rzeczywiscie istnieje to
wine ponosi pam.
> Haslo mozna wtedy zmienic metoda opisana przez Ciebie.
> A co do wolnego ID to czy nie jest przypadkiem tak ze kazdy inny ID poza 0
> nie jest jzu kontem root'a ?
>
Tak, ale ID zmieniasz tylko na czas zmiany hasla, potem znowu dajesz 0.
>
>>Tak, dobrze. Ale problem, ktory zauwazyles jest bardziej ogolnej natury.
>>Bedac adminem zawsze mogles wprowadzic jakiegos backdoora, albo 1000
>>innych sposobow na zalogowanie sie jako root w systemie, ktorym do tej
>>pory administrowales.
>
>
> Az 1000 sposobow ... mozesz mi podac chociaz jeden pewny i dobrze dzialajacy
> ?
Najprosciej to zmienic nieco zrodla jakiegos demona, albo PAM, tak, zeby
przy podanej kombinacji user/haslo dawal ci roota. Praktycznie kazdy
program mozesz zmodyfikowac i dostosowac do wlasnych potrzeb. A wykrycie
tego nie bedzie takie latwe.
T.M.F.
>>>> prosty blad :)
>>>
>>>
>>> Leniwy jestem :)
>>
>>
>> Czyli nie sprawdzisz ? ;)
>>
>
Ok, sprawdzilem. U mnie jak dam 0:0 na usera i zmieniam mu haslo to
wszystko gra - zmienia haslo dla tego wlasnie usera. Bez problemow.
Wniosek - cos robisz nie tak, ew. upgraduj pam i passwd.
Loku
to malo bezpieczne rozwiazanie
serio polecam sudo
Program jest bardzo fajny i przydatny, szczgolnie gdy ma sie 3 adminow i
jednego kompa :)
Oczywiscie musza to byc zaufane osoby
POLECAM CZYTANIE man - dla kolegi ktory mowi ze zartuje
program do edycji : /usr/sbin/visudo
wpisujemy aliasa :
Cmnd_Alias PROGS=/usr/bin/top,/bin/killall,/bin/kill (i jakie progsy chcemy
udostepnic)
nastepnie
składnia : uzytkownik komputer=(uzytkownik efektywny) polecenie
root ALL=(ALL) ALL (linijka oczywista dla roota)
user ALL=(ALL) NOPASSWD: PROGS
(i teraz kolega user moze bez wpisywania hasla odpalic programy roota)
a odpala sie tak np: sudo kill -9 numer_procesu
Birdy
> Cmnd_Alias PROGS=/usr/bin/top,/bin/killall,/bin/kill (i jakie progsy
chcemy
> udostepnic)
Chce udostepnic wszystko - bede musial wymieniac ? ;)
Dzieki.
Pozdrawiam. Birdy
Birdy
> wszystko gra - zmienia haslo dla tego wlasnie usera. Bez problemow.
Huh ... no to ktoregos dnia sprawdze to jeszcze raz u siebie.
> Wniosek - cos robisz nie tak, ew. upgraduj pam i passwd.
Mam Debiana i apt-get update i apt-get upgrade niczego nowego
nie wykrywa.
Pozdrawiam. Birdy
kreator
> Chce udostepnic wszystko - bede musial wymieniac ? ;)
> Dzieki.
>
user ALL=(root) ALL
opis:
user host UID command
* user - to użytkownik, który ma otrzymać przywileje programu sudo
* host - oznacza maszyny (IP), z których może korzystać użytkownik
* UID - z jakimi przywilejami będzie uruchamiany program
* command - lista dostępnych programów
ALL - oznacza wszystko
to jest zdecydowanie lepszy (bezpieczniejszy) sposób administrowania
przez wielu uzytkowników, niż tworzenie ich z id = 0
Ewentualnie mozna uzywac "su" do przelogowania sie na konto root
zasadnicza róznica jest taka ze wówczas jestesmy "root'em"
a nie uruchamiamy programy z okreslonymi prawami (np. root'a).
Ta metoda jest raczej stosowana dla zwiekszenia bezpieczenstwa,
- by nie logowac sie jako "root", nie do współadministracji.
Pozdrawiam.
Andrzej 'The Undefined' Dopierała
> Proponuje program sudo do przekazywania obowiazkow administratora innym
> root ALL=(ALL) ALL
> luzer ALL=(ALL) ALL
>
> i juz
owszem.
a potem ktoś podsłucha hasło na ziutka i ma dostęp do roota.
Co dwa hasła to nie jedno, a sudo nadaje się do pracy na domowej
maszynce...
--
Andrzej 'The Undefined' Dopierała
(z drugiej strony lustra)
Andrzej 'The Undefined' Dopierała
> Da sie w systemie Linux zalozyc drugie konto administratora o innym
> loginie niz root i innym hasle niz root ? (czyli niezalezne drugie konto
> administratora). Zmieniajac uid oraz guid udalo mi sie osiagnac taki
> efekt, ze powstaje drugie konto jednak zmiana hasla powoduje rowniez
> zmiane hasla na koncie root.
ee.. niemożliwe.
w pld działa
wystarczyło po prostu przekopiować linijkę roota w /etc/passwd i
/etc/shadow, zmienić login nowego root-a i katalog domowy(katalog
oczywiście trzeba wcześniej utworzyć) i dalej już wszystko gra...
> Pozdrawiam. Birdy
GoTaR
> Co dwa hasła to nie jedno, a sudo nadaje się do pracy na domowej
> maszynce...
Na domowej maszynce to się robi tak:
~: su -
~#
;)
--
GoTaR <priv0.onet.pl->gotar> USA sux
http://www.pld-linux.org/Members/gotar/ http://vfmg.sourceforge.net/
http://mops.uci.agh.edu.pl/~gotar/ http://informatica.agh.edu.pl/
Krzysztof Oledzki
> W artykule <bkk646$in1$1...@news.onet.pl> news.onet.pl napisał(a):
>
>> Proponuje program sudo do przekazywania obowiazkow administratora innym
>> root ALL=(ALL) ALL
>> luzer ALL=(ALL) ALL
>>
>> i juz
> owszem.
> a potem ktoś podsłucha hasło na ziutka i ma dostęp do roota.
Żartujesz, prawda? Jedynym w miare bezpiecznym rozwiązaniem jest
trzymanie kluczy ssh na pendrivie. Jedyne co jest przesyłane to
passphrase.
Pozdrawiam,
Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Linux Registered User: 189200
BSD Registered User: 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Andrzej 'The Undefined' Dopierała
>> a potem ktoś podsłucha hasło na ziutka i ma dostęp do roota.
>> Co dwa hasła to nie jedno.
>
> Żartujesz, prawda? Jedynym w miare bezpiecznym rozwiązaniem jest
> trzymanie kluczy ssh na pendrivie. Jedyne co jest przesyłane to
> passphrase.
szczesliwi ci co maja taka mozliwosc.
Chcesz powiedziec ze tak robisz?
I nie logujesz sie nigdy z zadnych maszynek chociazby nie majacych
wejscia usb? ;)
> Krzysztof Oledzki