Wie ist es möglich, dass ich mich nicht mit su root
oder als root anmelden kann su
(ich erhalte einen falschen Passwortfehler), aber ich kann mich mit ssh root@localhost
oder ssh root@my_local_IP
mit demselben Passwort anmelden ?
Ich benutze CentOS 6.4.
Update1 :
cat /etc/pam.d/su
gibt:
#%PAM-1.0
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
auth include system-auth
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session optional pam_xauth.so
Update2 :
$ sudo grep su /var/log/secure | grep -v sudo
gibt:
Feb 23 13:12:17 fallah su: pam_unix(su:auth): authentication failure;
logname=fallah uid=501 euid=501 tty=pts/0 ruser=fallah rhost= user=root
ca. 20 mal wiederholt.
centos
login
authentication
su
Alireza Fallah
quelle
quelle
/etc/securetty
(cp /etc/securetty{,.old}; : > /etc/securetty
). Wenn das immer noch nicht funktioniert, geben Sie den Inhalt von an/etc/pam.d/su
.ssh 192.168.1.218
Sie sich nur als Sie selbst an? Um sich als root via anzumelden,ssh
benötigen Sie normalerweisessh [email protected]
oderssh root@localhost
.echo $$
), öffnen Sie (z. B. überssh
) eine Root-Shell (erforderlich zum Verfolgen von SUID-Binärdateien) und starten Siestrace
diese Shell:strace -o su.strace -p 12345 -f
und suchen Sie vor der Fehlermeldung nach seltsamen Fehlern. Oder kopieren Sie die letzten 30 Zeilen vor der Fehlermeldung in Ihre Frage, wenn Sie mit dieser Art von Ausgabe nicht vertraut sind.Process 11736 attached - interrupt to quit
chmod 4755 /bin/su
um dieses Problem zu beheben.Antworten:
In Ihrem Kommentar haben Sie gesagt, dass
/bin/su
der folgende Modus / Eigentümer hat:Hier gibt es zwei Probleme.
Das Set-UID-Bit muss aktiviert sein, damit es immer mit Root-Berechtigungen ausgeführt wird. Andernfalls hat ein normaler Benutzer (der kein Root-Benutzer ist) weder Zugriff auf die Kennwortinformationen
/etc/shadow
noch die Möglichkeit, die zu setzen Benutzer-ID an den gewünschten neuen Benutzer.Das
group
undother
Write-Bit sollte deaktiviert sein, damit andere Benutzer es nicht ändern können.Um dies zu beheben, melden Sie sich als
root
- Sie sagten, Sie können dies tun mitssh
- und geben Sie einoder alternativ,
(Das Standarddokument für chmod enthält nähere Informationen zu den Argumenten.) Dadurch werden die Modusbits so wiederhergestellt, wie sie bei der Erstinstallation des Betriebssystems verwendet wurden. Wenn Sie diese Datei auflisten, sollte sie so aussehen:
Wie @ G-Man feststellte, können Dateien, die sich im Modus 777 befinden, von nicht vertrauenswürdigen Benutzern überschrieben werden. In diesem Fall empfiehlt es sich, sie vom Distributionsmedium oder von Sicherungen neu zu installieren.
quelle
chmod 755 /bin/su
wofür ist die extra 4 ?4
erste Position steht für die Berechtigung set-uid. Ich habe meine Antwort bearbeitet, um eine alternative Methode zur Verwendung von chmod hinzuzufügen, bei der symbolische Namen für die Berechtigungsbits verwendet werden. Hoffentlich wird das klarer.chmod -R 777 /bin
und deswegen wurde ich verflucht: Drpm
Dateiberechtigungen wiederherstellt, aber ich habe es nicht ausprobiert.1. Radgruppe?
Dies liegt wahrscheinlich daran, dass sich Ihre useid nicht in der
wheel
Gruppe befindet. In Red Hat-Distributionen können Sie Benutzern, die nicht zu dieser Gruppe gehören, die Ausführung dessu
Befehls explizit untersagen .So
su
sieht die PAM-Konfiguration standardmäßig aus:Diese Zeile kann den Zugriff auf den
su
Befehl auf Benutzer in derwheel
Gruppe beschränken:Nach dem Geräusch ist dies aktiviert und Ihre Benutzer-ID darf den
su
Befehl nicht ausführen .SSH funktioniert, da es einen anderen PAM-Mechanismus durchläuft. SSH hat auch eigene Möglichkeiten, um den Zugriff auf Root-Logins zu beschränken. Root-Anmeldungen sind in der Regel standardmäßig zulässig, zumindest in den meisten Red Hat-Distributionen:
Obwohl das Obige auskommentiert ist, ist es die Standardeinstellung und zeigt, wie OpenSSH die Standardeinstellung in den Konfigurationen ist.
Arbeiten Sie damit?Wenn Ihr System so konfiguriert ist, können Sie der
wheel
Gruppe Ihren Benutzernamen hinzufügen .Nach dem Abmelden und erneuten Anmelden:
HINWEIS: Meine Benutzer-ID lautet oben "saml".
2. Berechtigungen direkt am su?
Überprüfen Sie, ob die ausführbare Datei im Besitz von root ist.
Stellen Sie außerdem sicher, dass die
s
Bits der ausführbaren Dateien aktiviert sind. Das macht sie zu setuid, so dass sie, wenn sie ausgeführt werden, als ihre eigene root laufen.3. Was sagen die Protokolle?
Wenn Sie versuchen, den
su -
Befehl auszuführen, sollten Sie Einträge/var/log/secure
über den Versuch sehen.Sehen Sie in diesem Protokoll nach, ob Sie zusätzliche Informationen erhalten.
4. Sind Sie sicher, dass das Passwort nicht das Problem ist?
Wenn ich versuche, mich mit anzumelden,
su -
erhalte ich Folgendes, wenn ich ein falsches Passwort eingebe:Ich würde versuchen, ein anderes Konto zu erstellen und zu prüfen, ob dieses sekundäre Konto
su -
erfolgreich ausgeführt werden kann.quelle
usermod -a -G wheel my_username
und das Ergebnis vongroups
istfallah wheel
. Also das Ergebnis voncat /etc/pam.d/su
ist jetzt in meiner Frage, UND, wieder kann ich mich nicht als root per su-Befehl anmelden !!!/var/log/secure
:Feb 24 10:19:45 fallah su: pam_unix(su:auth): authentication failure; logname=fallah uid=501 euid=501 tty=pts/2 ruser=fallah rhost= user=root
/var/log/secure
su: incorrect password
- und das Passwort ist korrekt, weil ich mich mit dem gleichen Passwort in SSH anmelden kannsu alireza
, und wieder das gleiche ProblemWenn Sie eine solche Fehlermeldung erhalten
Mach diesen Schritt:
Dann versuche es mit su. Es sollte funktionieren.
quelle