[teilweise gelöst] root ausgesperrt, 'sudo /sbin/yast' geht

dma67 · 9 Jan. 2011

Hallo zusammen,

folgendes Problem:
ich mache Fernwartung für dem Rechner meiner Eltern (1200km entfernt, deswegen kein LIVE-boot möglich).
Meine Eltern kennen das Passwort für root natürlich nicht. Via Fritz-zu-Fritz haben wir vpn, Weder von außen noch vom Intranet kann man per ssh auf den Rechner als root kommen, nur als user, dann muss gewechselt werden - Standardsicherheitsvorkehrungen, um gleich zu klären, dass die Kiste nicht gehackt wurde.
Das System ist Open SUSE 11.3. Ich habe zuletzt vor 2 Wochen als Update per 'zypper update' gemacht und nichts an Einstellungen gedreht.

Heute wollte ich mich als root einloggen und es kam folgende Fehlermeldung:

Code:

ejm@E2200:~> su
Passwort: 
Die Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv.
su: incorrect password

Das kann nicht sein, dass das Passwort falsch ist, dann müsste es so kommen (bei mir testweise falsches Passwort)

Code:

dma@Phenom940:~> su
Passwort: 
su: ungültiges Kennwort

In diesem Beitrag
http://www.linux-club.de/viewtopic.php?f=38&t=66317
habe ich den Rat befolgt:

Code:

ejm@E2200:~> sudo /sbin/yast
root's password:

und es funktioniert tadellos. Bin root im YaST. Versteht das einer?

Wie gesagt: nix gedreht,

File Permissions: Easy
User launching updatedb: nobody

Ich habe sämtliche Einstellungen mit meinem Yast verglichen und nichts Auffäliges gefunden.

Wie kann ich das wieder zurecht biegen?
Danke für jeden Hinweis!

EDIT:
Mit dem so geöffneten YaST habe ich einen neuen user angelegt: dma. Versuche ich mich als user dma einzuloggen

Code:

ejm@E2200:~> su dma
Passwort: 
Die Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv.
su: incorrect password

Es gibt insgesamt 2 user: ejm - da kann man sich einloggen (Standard-User meiner Eltern) und jetzt angelegt: dma. Geht auch nicht......

***** SELTSAM: hat jemand schon so etwas gehabt? *******
So geht es ssh->dma->ejm->su

Code:

dma@Phenom940:~> ssh dma@192.168.1.2
Password: 
Last login: Sun Jan  9 20:28:57 2011 from 192.168.2.2
Have a lot of fun...
dma@E2200:~> su ejm
Passwort: 
ejm@E2200:/home/dma> su
Passwort: 
E2200:/home/dma # exit
exit
ejm@E2200:/home/dma> exit
exit
dma@E2200:~> exit
logout
Connection to 192.168.1.2 closed.

So geht es nicht ssh->ejm->dma oder ->su

Code:

dma@Phenom940:~> ssh ejm@192.168.1.2
Password: 
Last login: Sun Jan  9 20:33:35 2011 from e2200
Have a lot of fun...
ejm@E2200:~> su
Passwort: 
Die Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv.
su: incorrect password
ejm@E2200:~> su dma
Passwort: 
Die Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv.
su: incorrect password
ejm@E2200:~>

Bin mit meinem Latein am Ende.

spoensche · 14 Jan. 2011

Poste mal die Ausgabe von

Code:

ls -l /etc/{shadow,passwd}

dma67 · 15 Jan. 2011

Code:

ejm@E2200:~> ls -l /etc/{shadow,passwd}
-rw-r--r-- 1 root root   1382 2011-01-09 20:18 /etc/passwd
-rw-r----- 1 root shadow  796 2011-01-09 20:18 /etc/shadow

Auf meiner Maschine sind die Rechte genauso gesetzt.

Code:

dma@Phenom940:~> ls -l /etc/{shadow,passwd}
-rw-r--r-- 1 root root   2723  8. Jan 18:57 /etc/passwd
-rw-r----- 1 root shadow 1450  8. Jan 18:57 /etc/shadow

seltsam....

Wieder dasgleiche Spiel

Code:

dma@Phenom940:~> ssh ejm@192.168.1.2
Password: 
Last login: Sat Jan 15 17:29:17 2011 from 192.168.2.2
Have a lot of fun...
ejm@E2200:~> su
Passwort: 
Die Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv.
su: incorrect password
ejm@E2200:~> su dma
Passwort: 
Die Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv.
su: incorrect password
ejm@E2200:~> exit
logout
Connection to 192.168.1.2 closed.
dma@Phenom940:~> ssh dma@192.168.1.2
Password: 
Password: 
Password: 
Permission denied (publickey,keyboard-interactive).
dma@Phenom940:~> ssh dma@192.168.1.2
Password: 
Last login: Sun Jan  9 20:48:01 2011 from 192.168.2.2
Have a lot of fun...
dma@E2200:~> su
Passwort: 
E2200:/home/dma # exit
exit
dma@E2200:~> exit
logout
Connection to 192.168.1.2 closed.
dma@Phenom940:~>

Na ja, ich kann eigentlich damit leben. Die Frage ist nur, warum Benutzer ejm zu keinem anderen wechseln darf.

Jetzt fäält mir was ein: Kann es ev. daran liegen, dass der user ejm einen Autologin bei kde eingerichtet bekam? Hat aber wohl damit nichts zu tun....

spoensche · 15 Jan. 2011

dariuszmarek schrieb:
Na ja, ich kann eigentlich damit leben. Die Frage ist nur, warum Benutzer ejm zu keinem anderen wechseln darf.

Durch das Entziehen der benötigten Rechte per sudoers, AppArmor, ACL etc,

dariuszmarek schrieb:
Jetzt fäält mir was ein: Kann es ev. daran liegen, dass der user ejm einen Autologin bei kde eingerichtet bekam? Hat aber wohl damit nichts zu tun....

Nein. Mit dem Autologin hat das nichts zu tun. Allerdings hat eine GUI und ein autologin, erst recht, nichts, aber auch rein gar nichst auf einem Server zu suchen. Für den "passwortlosen" Login verwendet man SSH und Publickey Auth.

Hast du evtl. die Permissions per Policykit auf paranoid o.ä gesetzt? (/etc/polkit)

Besteht dein Problem erst seit kurzem und hat vorher reibungslos funktioniert?

Steht in den Firewall Logs etwas verdächtiges, was auf einen Angriff hindeutet. Bist du dir sicher, dass dein System nicht kompromittiert ist?

dma67 · 15 Jan. 2011

spoensche schrieb:
dariuszmarek schrieb:

Na ja, ich kann eigentlich damit leben. Die Frage ist nur, warum Benutzer ejm zu keinem anderen wechseln darf.

Zum Vergrößern anklicken....

Durch das Entziehen der benötigten Rechte per sudoers, AppArmor, ACL etc,

192.168.1.2 - Das ist eine Standard-Desktop Maschine für 2 Herrschaften über 60, zum Surfen,Mailen, Radio hören.
Keine Rechte wurden entzogen,Sie kennen das root Paswortnicht.
Apparmor macheich immerkomplett weg.

spoensche schrieb:
dariuszmarek schrieb:

Jetzt fäält mir was ein: Kann es ev. daran liegen, dass der user ejm einen Autologin bei kde eingerichtet bekam? Hat aber wohl damit nichts zu tun....

Zum Vergrößern anklicken....

Nein. Mit dem Autologin hat das nichts zu tun. Allerdings hat eine GUI und ein autologin, erst recht, nichts, aber auch rein gar nichst auf einem Server zu suchen. Für den "passwortlosen" Login verwendet man SSH und Publickey Auth.

Nein. Das ist kein Server. Der Rechner steht 1200km entfernt in Polen, die gehen ins Netz über deutsche FritzBox, die mit meiner via vpn verbunden ist. Der einzige Dienst ist ssh, damit ich mich einloggen kann und updates machen kann. Port nach aussen ist geschlossen,es geht mit ssh nur überdas ipsec-Tunnel.
Passwortlos war gemeint, wenn sie die Kiste starten, haben sie KDE Desktop mit autologin.

Die Maschine ist 100% sauber. Keine verdächtigen Firewall Logs. Keine paranoide Einstellung.

spoensche · 16 Jan. 2011

Wo der Rechner steht ist egal, da der User ejm auch am Norpol nichgt die nötigen Rechte hat, um sich als root anmelden zu können.
Da du ja einen eigenen User hast ist das auch nicht weiter tragisch.

[teilweise gelöst] root ausgesperrt, 'sudo /sbin/yast' geht

dma67

Hacker

spoensche

Moderator

dma67

Hacker

spoensche

Moderator

dma67

Hacker

spoensche

Moderator