[opensuse-es] ARGH! Suddenly, I can't su to root!
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi: cer@nimrodel:~> su - Password: Permissions on the password database may be too restrictive. su: incorrect password cer@nimrodel:~> - -rw-r--r-- 1 root root 2591 2007-02-16 20:34 /etc/passwd - -rw-r----- 1 root shadow 1767 2007-02-16 18:19 /etc/shadow - -rw-r----- 1 root shadow 922 2005-10-07 02:49 /etc/shadow- Other symptoms: Postfix: Mar 1 12:15:23 nimrodel postfix/postdrop[17373]: warning: mail_queue_enter: create file maildrop/61413.17373: Permission denied hundreds of them! As a temporary hack, I do: chmod a+w+x+r /var/spool/postfix/maildrop/ What did I do before this happened? I had a look in Yast at users / local security and User management, changed nothing. I also tried "CA Management" to create a CA. Tried to create a "common server certificate", which failed to find the newly created CA. Exited Yast, tried to enter again... failed. Can't enter again. Then I noticed I can no longer "su" to root! In /etc/pam.d there are some files dated today, but half an hour ago: common-account-pc common-auth-pc common-password-pc common-session-pc contents: common-account-pc: account required pam_unix2.so common-auth-pc auth required pam_env.so auth required pam_unix2.so common-password-pc: password requisite pam_pwcheck.so nullok cracklib minlen=7 password required pam_unix2.so nullok use_authtok common-session-pc: session required pam_limits.so session required pam_unix2.so session optional pam_umask.so AppArmour: one log entry: prof usr/bin/mdnsd capability sys_tty_config severity 8 which I have enabled to see if that was it. No good. Nothing in the log: Mar 1 11:20:48 nimrodel su: (to fido) root on /dev/pts/15 Mar 1 11:20:48 nimrodel su: (to fido) root on /dev/pts/15 Mar 1 11:26:28 nimrodel zmd: Daemon (WARN): Not starting remote web server Mar 1 11:30:01 nimrodel /usr/sbin/cron[16243]: (cer) CMD (/home/cer/bin/avisar_hablando time > /dev/null) Mar 1 11:30:08 nimrodel init: Re-reading inittab Mar 1 11:48:53 nimrodel su: FAILED SU (to root) cer on /dev/pts/14 Mar 1 11:49:04 nimrodel su: FAILED SU (to root) cer on /dev/pts/14 Mar 1 11:49:13 nimrodel su: FAILED SU (to root) cer on /dev/pts/14 (No, inittab has not changed) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF5ri6tTMYHG2NR9URApEdAJ988yCljk39RjgsQiOxkKo2N8U1gwCgjTNY 1XOo4SsBZ60dfIe/5fpAKhw= =WOze -----END PGP SIGNATURE----- --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2007/3/1, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hi:
cer@nimrodel:~> su - Password: Permissions on the password database may be too restrictive. su: incorrect password cer@nimrodel:~>
- -rw-r--r-- 1 root root 2591 2007-02-16 20:34 /etc/passwd - -rw-r----- 1 root shadow 1767 2007-02-16 18:19 /etc/shadow - -rw-r----- 1 root shadow 922 2005-10-07 02:49 /etc/shadow-
Other symptoms: Postfix:
Mar 1 12:15:23 nimrodel postfix/postdrop[17373]: warning: mail_queue_enter: create file maildrop/61413.17373: Permission denied
hundreds of them! As a temporary hack, I do:
chmod a+w+x+r /var/spool/postfix/maildrop/
What did I do before this happened?
I had a look in Yast at users / local security and User management, changed nothing.
I also tried "CA Management" to create a CA. Tried to create a "common server certificate", which failed to find the newly created CA. Exited Yast, tried to enter again... failed. Can't enter again. Then I noticed I can no longer "su" to root!
Carlos, me parece que te equivocaste de lista! Esta es la lista en español.... Probaste de arrancar con el primer cd o dvd, de ingresar y darle reparación automática? Que versión estas usando? Suerte --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-01 a las 08:35 -0300, Juan Erbes escribió:
Carlos, me parece que te equivocaste de lista! Esta es la lista en español....
¡Acabo de verlo! Y yo moscas porque no veía salir el correo en la otra :-/ Hace un momentito que puse otro correo en esta en español.
Probaste de arrancar con el primer cd o dvd, de ingresar y darle reparación automática?
¡NI DE COÑA! Eso se carga SIEMPRE mi instalación.
Que versión estas usando?
La 10.2 - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF5r4/tTMYHG2NR9URAskYAJwPxQT7SR5DOxNjXaThISGJQAS9/QCfav5z GH++Dnca86wRU3SNVFXNkKY= =1N4I -----END PGP SIGNATURE-----
2007/3/1, Carlos E. R.:
Hi:
Hey, you misspelled the list address! ;-)
Permissions on the password database may be too restrictive.
Just a thought... but look for this error in Google, there are some references on this: http://www.google.com/search?hl=en&q=Permissions+on+the+password+database+may+be+too+restrictive&btnG=Google+Search Greetings, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-01 a las 12:36 +0100, Camaleón escribió:
Hey, you misspelled the list address! ;-)
Yah, right O:-(
Permissions on the password database may be too restrictive.
Just a thought... but look for this error in Google, there are some references on this:
¡Porqué no lo pensaría antes! ¡Melda! Te debo una cerveza o sidra o lo que te guste ;-) Uno de los que se queja delmismo problema menciona que puso la seguridad de archivos en "paranoica". Estoy seguro de no haberlo hecho, pero... miro en el yast, y efectivamente, ¡está en paranoica! de vuelta a "easy", y ya funciona. ¿Pero que rayos cambió? Claro, el ficherito que lo define dice: # /etc/permissions.paranoid is NOT designed to be used in a single-user as # well as a multi-user installation, be it networked or not. # Derived from /etc/permissions.secure, it has _all_ sgid and suid bits # cleared - therefore, the system might be useable for non-privileged users # except for simple tasks like changing passwords and such. In addition, # some of the configuration files are not readable for world any more. # - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF5sB+tTMYHG2NR9URAkyzAKCKLt5bDTwwdTVoq1flQqA3ilE3zACgh5uv WvjdJA3slEeeB/462C9BDBI= =tpJS -----END PGP SIGNATURE-----
2007/3/1, Carlos E. R.:
Uno de los que se queja delmismo problema menciona que puso la seguridad de archivos en "paranoica". Estoy seguro de no haberlo hecho, pero... miro en el yast, y efectivamente, ¡está en paranoica! de vuelta a "easy", y ya funciona.
Uh... ¿no tomarías la pastilla roja? X-)
¿Pero que rayos cambió?
Claro, el ficherito que lo define dice:
# /etc/permissions.paranoid is NOT designed to be used in a single-user as # well as a multi-user installation, be it networked or not. # Derived from /etc/permissions.secure, it has _all_ sgid and suid bits # cleared - therefore, the system might be useable for non-privileged users # except for simple tasks like changing passwords and such. In addition, # some of the configuration files are not readable for world any more.
Dice que en el modo paraonico sólo te permite gestionar contraseñas y poco más, pero no te dice por qué cambió a ese modo... ¿en qué escenarios se usaría esta modalidad de seguridad? Me pasa a mi ésto en algún equipo y me caigo de la silla... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-01 a las 13:24 +0100, Camaleón escribió:
2007/3/1, Carlos E. R.:
Uno de los que se queja delmismo problema menciona que puso la seguridad de archivos en "paranoica". Estoy seguro de no haberlo hecho, pero... miro en el yast, y efectivamente, ¡está en paranoica! de vuelta a "easy", y ya funciona.
Uh... ¿no tomarías la pastilla roja? X-)
¿Cual es esa? Me pierdo el chiste O:-)_m
¿Pero que rayos cambió?
Claro, el ficherito que lo define dice:
# /etc/permissions.paranoid is NOT designed to be used in a single-user as # well as a multi-user installation, be it networked or not. # Derived from /etc/permissions.secure, it has _all_ sgid and suid bits # cleared - therefore, the system might be useable for non-privileged users # except for simple tasks like changing passwords and such. In addition, # some of the configuration files are not readable for world any more.
Dice que en el modo paraonico sólo te permite gestionar contraseñas y poco más, pero no te dice por qué cambió a ese modo... ¿en qué escenarios se usaría esta modalidad de seguridad?
Cambió porque yo lo cambié sin darme cuenta al pisar con el ratón para ver cuales eran las opciones... dejaría el desplazable en "paranoid". ¿Para que sirve? Pues no lo se... como servidor, no sirve o no lo han probado, porque ya ves que ni el postfix funcionaba... el proceso maildrop que no iba estaba corriendo como "cer", o sea, como usuario, y era un correo local del cron para mí. Creo que hasta el sonido dejó de funcionar. No se siquiera quien lo puede usar:
# /etc/permissions.paranoid is NOT designed to be used in a single-user as # well as a multi-user installation, be it networked or not.
No funciona ni como simple usuario, ni como multiples, ni en red ni sin red... ¿entonces quien? ¿usuarios aislados en local? Y continúa: # Feel free to use this file as a basis of a system configuration that meets # your understanding of "secure", for the case that you're a bit paranoid. # Since there is no such thing as "it works" with this configuration, please # use these settings with care. Some experience on behalf of the administrator # is needed to have a system running flawlessly when users are present. # In particular, all terminal emulators will not be able to write to utmp # and wtmp any more, which renders who(1) and finger(1) useless. O sea, todo prohibido, ¡tienes que ir permitiendo tú cosas que realmente quieras que funcione! Ahora, fíjate el sarcasmo "a bit paranoid".
Me pasa a mi ésto en algún equipo y me caigo de la silla...
!No veas...! El susto que me ha dado... :-/ - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF5ssdtTMYHG2NR9URAhXjAJ9rZMFMecWp34yCYmefxxn88LV3rQCfX+zQ 6tJE9x6H2ArX+lTuZPK1+8c= =kR5P -----END PGP SIGNATURE-----
El 1/03/07, Carlos E. R. escribió:
El 2007-03-01 a las 13:24 +0100, Camaleón escribió:
Uh... ¿no tomarías la pastilla roja? X-)
¿Cual es esa? Me pierdo el chiste O:-)_m
Si no recuerdo mal, en Matrix la pastilla roja te mostraba la realidad (que estaba seleccionado el modo paranoico), la azul sólo lo que querías ver (pensabas que estabas en modo easy) :-)
Cambió porque yo lo cambié sin darme cuenta al pisar con el ratón para ver cuales eran las opciones... dejaría el desplazable en "paranoid".
Juver, ¿y no te pide que confirmes 3 veces ese cambio? Son estas situaciones las que deberían requirir la confirmación vía sms del cambio :-D
No funciona ni como simple usuario, ni como multiples, ni en red ni sin red... ¿entonces quien?
¿usuarios aislados en local?
Y continúa:
# Feel free to use this file as a basis of a system configuration that meets # your understanding of "secure", for the case that you're a bit paranoid. # Since there is no such thing as "it works" with this configuration, please # use these settings with care. Some experience on behalf of the administrator # is needed to have a system running flawlessly when users are present. # In particular, all terminal emulators will not be able to write to utmp # and wtmp any more, which renders who(1) and finger(1) useless.
O sea, todo prohibido, ¡tienes que ir permitiendo tú cosas que realmente quieras que funcione!
Sí, no le veo utilidad (salvo darle un susto gordo a alguien)... si al menos pusieran un ejemplo de escenario de uso. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-01 a las 13:55 +0100, Camaleón escribió:
Uh... ¿no tomarías la pastilla roja? X-)
¿Cual es esa? Me pierdo el chiste O:-)_m
Si no recuerdo mal, en Matrix la pastilla roja te mostraba la realidad (que estaba seleccionado el modo paranoico), la azul sólo lo que querías ver (pensabas que estabas en modo easy)
:-)
X-)
Cambió porque yo lo cambié sin darme cuenta al pisar con el ratón para ver cuales eran las opciones... dejaría el desplazable en "paranoid".
Juver, ¿y no te pide que confirmes 3 veces ese cambio? Son estas situaciones las que deberían requirir la confirmación vía sms del cambio :-D
Mmmm... na, a reportarlo en el bugzilla cuando me aburra.
O sea, todo prohibido, ¡tienes que ir permitiendo tú cosas que realmente quieras que funcione!
Sí, no le veo utilidad (salvo darle un susto gordo a alguien)... si al menos pusieran un ejemplo de escenario de uso.
Pues si... claro, que uno que sea paranoico no le va a hacer falta :-p - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF5tGttTMYHG2NR9URAgU1AJ4zx3pX5FaNOk64hXIms4sOfgNGuwCaAiQI +wHcpD9BUt2zhs79DUnSgi4= =6u2x -----END PGP SIGNATURE-----
participants (3)
-
Camaleón
-
Carlos E. R.
-
Juan Erbes