Hallo Linux-Gemeinde, in meinem Forschungsdrang habe ich gestern als root Testuser angelegt und deren Passworteinträge aus der passwd und shadow per Hand (vi) wieder entfernt. Die böse Überraschung kam heute - beim Versuch mich als root einzuloggen wird dies wegen unbekannten Passworts abgelehnt. Jeder andere User auf meinem System kann sich wie gewohnt einloggen! WAS SOLL ICH TUN? Ich weis - rumfummeln an den Systemdateien sollte man nicht tun - trotzdem schon mal vielen Dank für evtl. Hilfe. Klaus aus Amberg -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Klaus Gross wrote:
Hallo Linux-Gemeinde, in meinem Forschungsdrang habe ich gestern als root Testuser angelegt und deren Passworteinträge aus der passwd und shadow per Hand (vi) wieder entfernt. Die böse Überraschung kam heute - beim Versuch mich als root einzuloggen wird dies wegen unbekannten Passworts abgelehnt. Jeder andere User auf meinem System kann sich wie gewohnt einloggen! WAS SOLL ICH TUN? Ich weis - rumfummeln an den Systemdateien sollte man nicht tun - trotzdem schon mal vielen Dank für evtl. Hilfe.
Klaus aus Amberg
Eigentlich ist meine Lösung ziemlich primitiv, aber sie sollte hinhauen: also, zuerst startest Du irgendein Rettungssystem oder das 1Disk-Linux. <A HREF="http://www.toms.net/rb"><A HREF="http://www.toms.net/rb</A">http://www.toms.net/rb dann mountest Du die Platte, auf der Du das Passwd-File hast, öffnest diese mit VI oder so was und löschst beim Eintrag root das X (root:x: ........). jetzt speicherst Du das File, fährst das Rettungssystem oder 1Disk-Linux runter startest neu, gibst als user "root" ein und schwupps solltest Du drin sein (eventuelle Passwortabfrage mit ENTER quittieren) Und jetzt noch schnell das Passwort mit passwd wieder setzten! So ist's auf jedem Fall mit SuSE4.x gelaufen ,(auch mit shadow), aber eigentlich sollte es auch hier hinhauen. Tja, und da sieht man mal wieder, dass selbst ein LINUX nicht sicher ist, wenn man direkten Zugrif auf die Hardware hat (aber man könnte es ja auch mit einem Magneten zerstören ;-) gruss vom fuss mathias -- some windows were made to be broken LINUX - join the revolution mathias kuhn phone: +41-56-622-82-53 weingasse 47 e-mail: mkuhn@pop.agri.ch CH-5612 villmergen icq#: 22644419 -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Am Fre, 01 Jan 1999 schrieb Klaus Gross:
Hallo Linux-Gemeinde, in meinem Forschungsdrang habe ich gestern als root Testuser angelegt und deren Passworteinträge aus der passwd und shadow per Hand (vi) wieder entfernt. Die böse Überraschung kam heute - beim Versuch mich als root einzuloggen wird dies wegen unbekannten Passworts abgelehnt. Jeder andere User auf meinem System kann sich wie gewohnt einloggen! WAS SOLL ICH TUN? Ich weis - rumfummeln an den Systemdateien sollte man nicht tun - trotzdem schon mal vielen Dank für evtl. Hilfe.
Hallo Klaus, Rettungsdiskette starten, Deine "/"-Partition an /mnt binden, also mount -t ext2 /dev/hd?? /mnt wobei hd?? Deine root-Partition ist, und dann das Paßwort aus /mnt/etc/shadow entfernen. Es müssen die beiden Doppelpunkte, wo das Paßwort zwichen müsste, unmittelbar nebeneinander stehen, ohne Leerzeichen oder was anderes dazwichen. Die Datei abspeichern, aus /mnt rausgehen, /mnt unmounten und die Sitzung beenden. Habe ich jetzt natürlich nicht ausprobiert. Durch Entfernen der Paßwörter von (Test-) User oder der ganzen Zeile kann es aber nicht zu solchen Schäden kommen. Daher nochmal genau nachschauen, ob Deine Paßwort /Schattendatei nicht anderswie verhunzt ist. Trotzdem alles Gute zum neuen Jahr Bernd -- Bernd Brodeßer Mönchengladbach B.Brodesser@online-club.de -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Klaus Gross schrieb:
Hallo Linux-Gemeinde, in meinem Forschungsdrang habe ich gestern als root Testuser angelegt und deren Passworteinträge aus der passwd und shadow per Hand (vi) wieder entfernt. Die böse Überraschung kam heute - beim Versuch mich als root einzuloggen wird dies wegen unbekannten Passworts abgelehnt. Jeder andere User auf meinem System kann sich wie gewohnt einloggen! WAS SOLL ICH TUN? Ich weis - rumfummeln an den Systemdateien sollte man nicht tun - trotzdem schon mal vielen Dank für evtl. Hilfe.
Klaus aus Amberg
Hallo holde hackergemeinde .. Ich möchte mich auch in Irgendwelche Unix-Systeme als 'root' reinhacken .. Wer hilft ? Wie gehts ? Was soll ich tun ? Didi :-)))))) -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Am Fre, 01 Jan 1999 schrieb Dietmar Radtke:
Hallo holde hackergemeinde .. Ich möchte mich auch in Irgendwelche Unix-Systeme als 'root' reinhacken .. Wer hilft ? Wie gehts ? Was soll ich tun ?
Didi :-))))))
Hallo Dietmar, Solange Du einen Zugriff auf die Hardware hast, ist das kein Problem, wie Du an den Mails siehst. Das kann und soll jeder wissen. Sicherheit durch Obskuritäten gibt es nicht. Der Sysadmin muß Wissen, daß der Rechner / der Server in einem eigenen, einbruchsicheren Raum stehen muß, zu dem sonst keiner Zutritt hat. Je, nach Sicherheitsbedürfnis kann der Aufwand höher getrieben werden. So sollte Dieser Raum nicht der normale Arbeitsplatz des Sysadmins sein, denn auch der Sysadmin muß mal aufs Klo. Irgendwann schließt er den Raum nicht hinter sich ab. Das darf niemals geschehen. In diesem Raum können auch die Bandlaufwerke und die Bänder stehen. Außerdem kommt ein (Nadel)drucker auf Endlospapier gut, der alle wichtigen Ereignisse ausdruckt, so z.B wer sich als root wo und wie einloggt. Wenn mal einer ein Passwort geknackt hat, merkt man es. Ein frohes neues Jahr ohne Einbrüche wünscht Bernd -- Bernd Brodeßer Mönchengladbach B.Brodesser@online-club.de -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hallo holde hackergemeinde .. Ich möchte mich auch in Irgendwelche Unix-Systeme als 'root' reinhacken ..
Toll.
Wer hilft ?
Ich.
Wie gehts ?
42
Was soll ich tun ?
<A HREF="http://koeln.ccc.de/texte/hacker-werden.html"><A HREF="http://koeln.ccc.de/texte/hacker-werden.html</A">http://koeln.ccc.de/texte/hacker-werden.html lesen splitti -- Stephan Splitthoff, Falkenstr. 36 splitti@air.shs.owl.de 33758 Schloss Holte, Tel/Fax: 05207-3872 <A HREF="http://pam.shs.owl.de"><A HREF="http://pam.shs.owl.de</A">http://pam.shs.owl.de 0173-2103308 -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Klaus Gross schrieb:
in meinem Forschungsdrang
...der nicht grundsaetzlich verkehrt ist
[...]
Die böse Überraschung kam heute - beim Versuch mich als root einzuloggen wird dies wegen unbekannten Passworts abgelehnt.
Keine Panik, Klaus! Es ist sogar eigentlich gut, dass Dir das pasiert ist, damit Du Dich gleich mit dem Rettungssystem beschaeftigst. Ich gehe mal davon aus, dass Du eine SuSE hast. Damit machst Du folgendes: 1. Rettungssystemsystem anlegen - falls noch nicht vorhanden. Das Rettungssystem besteht aus der Original-Boot-Diskette (gehoert zur Distribution) und der sogenannten Rescue-Diskette (ist selber anzulegen). Wie man die Rescue-Diskette erstellt, ist im Handbuch gut beschrieben. Zusaetzlich liegt ein Abbild der Rescue-Diskette auf der CD1 unter /cdrom/disks/rescue. Die laesst sich mit einem Linux-System ebenso anlegen wie mit einem DOS-Rechner, mit dem man auf das CD-ROM Zugriff hat. Der Vorgang ist bei meiner SuSE (5.0) auf Seite 170 (Das SuSE-Rettungssystem) gut beschrieben. 2. Notsystem booten Dazu legst Du die Original-Boot-Diskette der Distribution ein. Nachdem das gestartet ist (Neustart des Rechners), musst Du gegebenenfalls SCSI-Treiber laden lassen, bei AT-Platten geht es nach allen meinen bisherigen Erfahrungen ohne weiteres Laden von Modulen. Im Zweifelsfall einfach mal den Punkt "Automatisches Laden von Modulen" anwaehlen, der durchforstet schon Deine Hardware gruendlich. Danach waehlst Du den Punkt "Rettunssystem starten" aus, darin wiederum den Punkt "Starten von Diskette". Der Rechner fragt jetzt nach der Rescue-Diskette, diese einlegen. Nach erfolgreichem Start meldet sich der Rechner mit dem _trostreichen_ Login "YoMama". Da kannst Du Dich schon einmal als root ohne Passwort anmelden. 3. Dein Linux-System mounten Wo liegt es? Auf /dev/hda? Auf /dev/sda? Oder wo? Im Zweifelsfall mit fdisk mal suchen lassen, beispielweise mit dem Befehl "fdisk /dev/hda" bei einer AT-Platte oder mit "fdisk /dev/sda" bei einer SCSI-Platte. Dein System erkennst Du, wenn Du im FDisk-Programm den "p"-Befehl eingibst, Dein System hat dort die Kennzeichnung "Linux native", vorne dran steht das Device. FDisk bitte mit "q" wieder verlassen. Dann dieses System mounten, beispielsweise mit "mount /dev/hda1 /mnt", wenn es eine AT-Platte war. Jetzt in das Verzeichnis /mnt/etc wechseln. So, und nun als erstes bitte eine Sicherungskopie der beiden Dateien password und shadow anfertigen. Anschliessend die beiden Dateien edieren. 4. Das vergessene Passwort loeschen. passwd muss folgende Zeile am Anfang haben: root::0:0:root:/root:/bin/bash hadow muss folgende Zeile am Anfang haben: root::10281:0:10000:::: (An die Profis: Klar, ich weiss auch, dass es davon abhaengt, ob jetzt ein Shadow-System vorliegt oder nicht, also gehen wir doch hier den Weg, der auf jeden Fall hilft). Sollte es keine shadow-Datei geben, dann wird auch keine ediert. 5. Das System neu starten So, nun raus dem System mit "cd /" und noch ein oderntliches "umount /mnt" hinterher. Und jetzt wird der Rechner nicht einfach ausgeschaltet, sondern ordentlich heruntergefahren mit STRG+ALT+ENTF. Ist ein bisschen lang geworden die Beschreibung, aber ich hoffe, es hilft. Gleichermassen sollte uns das Verfahren auch zeigen, wie unsicher ein System sein kann, wenn jemand anderes physischen Zugriff auf die Kiste hat. Das nur am Rande! Gruss und viel Erfolg! Peter Blancke. -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hallo Peter, Bernd, Mathias und alle anderen ... VIELEN DANK für Eure Tips mit dem Rettungssystem!!! Es hat alles genau so funktioniert wie Ihr es beschrieben habt - das Einloggen im Pentagon als root klappt jetzt wieder ;-) Noch was zur Anmerkung von Bernd: Ich habe tatsächlich nur die beiden letzten Zeilen aus passwd und shadow per Hand gelöscht, die von meinem Anlegen des Testusers dort eingetragen wurden - insofern ist es mir nach wie vor nicht klar, wieso das Passwort plötzlich nicht mehr gültig war. Als Anlage schicke ich mein Skript mit, mit dem ich rumexperimentiert habe - mit diesem habe ich meinen Testuser angelegt. Das File /etc/uid.mail enthielt als Dummy den Wert 2000. Guten Rutsch noch nachtraeglich (habe ich gestern vor Frust total vergessen) Klaus aus Amberg Skript: ------- #! /bin/sh # # Usage: newmail NAME Vorname Nachname # name=$1 shift if grep ^$name: /etc/passwd then echo existiert bereits! exit 0 fi uid=`cat /etc/uid.mail` echo `expr $uid + 1` >/etc/uid.mail echo $name:*:$uid:40:$*:/var/spool/pop/$name:/bin/passwdsh >>/etc/passwd echo $name:!::10000:99999:7:0::0 >>/etc/shadow mkdir /var/spool/pop/$name /var/qmail/bin/maildirmake /var/spool/pop/$name/Maildir echo "./Maildir/" >/var/spool/pop/$name/.qmail cp /var/spool/pop/$name/.qmail /var/spool/pop/$name/.qmail-default chown -R $name /var/spool/pop/$name # echo passwd $name -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Klaus Gross schrieb:
Hallo Peter [weitere Samariter...]
VIELEN DANK
Bitte!
[...] - insofern ist es mir nach wie vor nicht klar, wieso das Passwort plötzlich nicht mehr gültig war. Als Anlage schicke ich mein Skript mit, mit dem ich rumexperimentiert habe - mit diesem habe ich meinen Testuser angelegt. Das File /etc/uid.mail enthielt als Dummy den Wert 2000.
uid=`cat /etc/uid.mail`
echo `expr $uid + 1` >/etc/uid.mail
Vielleicht doch ein Fehler beim Auslesen von /etc/uid.mail? Kam somit vielleicht eine Zahl 0 zustande, die dann als Root-ID huebsch weiterverwendet wurde? Gruss Peter Blancke. -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Am Sam, 02 Jan 1999 schrieb Klaus Gross:
Guten Rutsch noch nachtraeglich (habe ich gestern vor Frust total vergessen)
Macht nichts. Kann ich im übrigen gut nachvollziehen.
Skript: ------- #! /bin/sh # # Usage: newmail NAME Vorname Nachname # name=$1 [...] echo passwd $name
Da haben wirs doch. Einmal das Skript ohne Argument aufgerufen, und Du änderst das Superuserpasswort. Du hast nirgends getestet, ob überhaupt ein Argument übergeben wird. BTW: Wenn Dein Skript wegen einer nicht erfüllten Bedingung aufgibt, solltest Du nicht mit dem Rückgabewert 0 aufhören. Den gibt es nur bei Fehlerfreien Ausführung. cu Bernd -- Bernd Brodeßer Mönchengladbach B.Brodesser@online-club.de -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Fri Jan 01 1999, Klaus Gross wrote:
Die böse Überraschung kam heute - beim Versuch mich als root einzuloggen wird dies wegen unbekannten Passworts abgelehnt.
Von Diskette oder CD booten, die Root-Partition / auf irgendein Verzeichnis mounten, soweit ich weiss legt die SuSE-Distribution ein /mnt an, das man hierzu benutzen kann, /tmp geht auch. Dann ein "perl -pe 's/(\w+?\:).*?(\:.*)/$1$2/;' -i.bak /mnt/etc/shadow" und Du bist wieder dabei. Ja, Du kannst auch das Passwort manuell entfernen :) -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
participants (7)
-
B.Brodesser@online-club.de -
blancke@t-online.de -
hd@elfie.rhein-neckar.de -
kgross@www-ibs.de -
mkuhn@pop.agri.ch -
splitti@air.shs.owl.de -
tec@tecdata.de