Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - [решено] ssh логин пользователя с правами root

Ответить
Настройки темы
Debian/Ubuntu - [решено] ssh логин пользователя с правами root

Аватара для lxa85

Необычный


Contributor


Сообщения: 4317
Благодарности: 958

Профиль | Сайт | Отправить PM | Цитировать


Здравствуйте.
Допустили до консоли сервака, отдали права root (причем root чистый, даже не su).
Это ладно, пол беды. Создал для себя админа ladmin, все нормально. Захожу по ssh, попадаю в профиль своего пользователя.
whoami отвечает - ladmin
если скажу sudo -sH то предсказуемо получу привелегированный доступ.
Все хорошо.

Есть другой пользователь user, настроенный до меня, на системе не имеющей sudo.
Есть пользователь user, подключиться по ssh, то whoami - скажет root
И прав он имеет как root.

Как это было настроено? Что за "лайфхак" вычитан в "интернетах" ?

-------
- Я не разрешаю тебе быть плохой! Потому что плохие люди совершают плохие поступки. А это нехорошо!
(Из наставлений 5 летней девочки своей младшей сестре)


Отправлено: 17:28, 20-02-2018

 

Ветеран


Сообщения: 1465
Благодарности: 271

Профиль | Отправить PM | Цитировать


Цитата lxa85:
Есть пользователь user, подключиться по ssh, то whoami - скажет root
И прав он имеет как root. »
Есть одна мысль, user'у прописан uid=0.

-------
ПМ стираю не читая. Не пишите мне.

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:47, 20-02-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


ИО Капитана Очевидности


Contributor


Сообщения: 5257
Благодарности: 1084

Профиль | Отправить PM | Цитировать


Цитата lxa85:
Как это было настроено? Что за "лайфхак" вычитан в "интернетах" ? »
Не знаю.
Отсюда нам /etc/ssh/sshd_config вашего сервера не видно

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Это сообщение посчитали полезным следующие участники:

Отправлено: 01:01, 21-02-2018 | #3


Аватара для lxa85

Необычный


Contributor


Сообщения: 4317
Благодарности: 958

Профиль | Сайт | Отправить PM | Цитировать


Jula0071, да, пользователю был присвоен 0 id.
Это я просмотрел в passwd, видать слишком офигев от такой наглости.

-------
- Я не разрешаю тебе быть плохой! Потому что плохие люди совершают плохие поступки. А это нехорошо!
(Из наставлений 5 летней девочки своей младшей сестре)


Отправлено: 11:17, 21-02-2018 | #4


Ветеран


Сообщения: 1465
Благодарности: 271

Профиль | Отправить PM | Цитировать


Итак, я построил лабу, чтобы проверить своё предположение.
Код: Выделить весь код
root@lab-VirtualBox:~# usermod -u 0 testuser
usermod: UID '0' already exists
Ясно, стандартными средствами нельзя, редактируем ручками /etc/passwd:
Код: Выделить весь код
testuser:x:0:0:,,,:/home/testuser:/bin/bash
То есть, прописываем нули в поля uid и gid.
Вуаля:
Код: Выделить весь код
○ → ssh testuser@192.168.3.178
testuser@192.168.3.178's password:
Welcome to Ubuntu 16.04.3 LTS (GNU/Linux 4.13.0-32-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

0 packages can be updated.
0 updates are security updates.

Last login: Wed Feb 21 10:17:03 2018 from 192.168.3.108
root@lab-VirtualBox:~# whoami
root
root@lab-VirtualBox:~#
Полагаю, не нужно объяснять, что так делать на боевой системе не следует.

-------
ПМ стираю не читая. Не пишите мне.


Отправлено: 11:24, 21-02-2018 | #5


Аватара для lxa85

Необычный


Contributor


Сообщения: 4317
Благодарности: 958

Профиль | Сайт | Отправить PM | Цитировать


Цитата Jula0071:
Итак, я построил лабу, чтобы проверить своё предположение. »
Скорей всего так и сделали. По всей видимости опыт админов растет из Windows с не пониманием архитектуры и устройства Linux.
Цитата Jula0071:
Полагаю, не нужно объяснять, что так делать на боевой системе не следует. »
Безусловно.
Цитата El Scorpio:
/etc/ssh/sshd_config »
Там и руту доступ разрешен. Полный букет в общем.

P.S. Одно радует - админ не я...

-------
- Я не разрешаю тебе быть плохой! Потому что плохие люди совершают плохие поступки. А это нехорошо!
(Из наставлений 5 летней девочки своей младшей сестре)


Отправлено: 21:36, 21-02-2018 | #6


Ветеран


Сообщения: 2527
Благодарности: 513

Профиль | Отправить PM | Цитировать


Цитата lxa85:
Скорей всего так и сделали. По всей видимости опыт админов растет из Windows с не пониманием архитектуры и устройства Linux. »
Поясните, пожалуйста, логическую связь? При чём тут Windows - какой способ работы с ним подразумевает такую практику?
Нулевой uid - это древняя юниксовая особенность архитектуры. Даже не хак, а фича, чтобы несколько админов могли рулить системой под персональными логинами и паролями.
Может это у вас полное непонимание архитектуры как Linux, так и Windows? ;-)

Отправлено: 13:45, 22-02-2018 | #7


Ветеран


Сообщения: 1465
Благодарности: 271

Профиль | Отправить PM | Цитировать


Цитата Busla:
Нулевой uid - это древняя юниксовая особенность архитектуры. Даже не хак, а фича, чтобы несколько админов могли рулить системой под персональными логинами и паролями. »
Если мне не изменяет склероз, в FreeBSD даже был из коробки запасной root по имени toor, на случай если root недоступен. Да и вообще, десятилетия назад никакого SSH не было, был прозрачный telnet. Но с тех пор многое поменялось, выставишь тот же SSH в мир и мигом набегают миллионы китайцев с брутфорсом. Потому это делать сегодня нельзя ни в коем случае. И дело тут не в архитектуре, просто нельзя интерфейсы управления выставлять в мир. А также следует разграничивать доступы, исходя из правила разрешать только то, что необходимо и не более. Это применимо к любым платформам, кстати на винде с этим даже лучше обстоит, чем на том же линуксе (без ACL и SELinux).
Цитата Busla:
Поясните, пожалуйста, логическую связь? »
Могу лишь предположить, что речь о низкой квалификации и культуре админов, правда, почему именно виндовые взяты за образец этого удручающего явления, я не знаю. Может быть потому, что ТС с криворукими виндоадминами чаще сталкивался, чем с линуксовыми.

-------
ПМ стираю не читая. Не пишите мне.


Последний раз редактировалось Jula0071, 22-02-2018 в 14:47.


Отправлено: 14:38, 22-02-2018 | #8


Аватара для lxa85

Необычный


Contributor


Сообщения: 4317
Благодарности: 958

Профиль | Сайт | Отправить PM | Цитировать


Набежали ...
Цитата Busla:
Поясните, пожалуйста, логическую связь? »
У упомянутых админов нет практики работы с linux. (Про общую культуру администрирования не скажу)
Поэтому возможно (!) они решили проблему самым простым путем - отсыпали прав сколько влезет.
Это не в коей мере не относится к действительным профессионалам своего дела. Их мы любим, ценим и уважаем

Отправлено: 14:57, 22-02-2018 | #9


Ветеран


Сообщения: 1465
Благодарности: 271

Профиль | Отправить PM | Цитировать


Должен заступиться за админов, поскольку инфобез и удобство часто вступают в противоречие. Представьте, для доступа нужно подключиться к VPN, введя пароль и код верификации 2FA. Потом для доступа к собственно ресурсу - опять пароль и двухфактор. И парольная политика - не менее 15 символов, с чередующимися аппер и ловеркейс + цифры + символы. И менять каждые 90 дней. Тут любой взвоет, а когда начальство воет, то многие быстро сдаются. Если у них нет на руках оценки рисков. Скажем, если показать директору риск многомиллионного штрафа (причём не в полновесных рублях, а в ничем не обеспеченных зелёных бумажках), то вменяемый директор быстро успокаивается. Ну а если риски невелики, то и фиг с ней с безопасностью. Просто вопрос денег.

-------
ПМ стираю не читая. Не пишите мне.


Отправлено: 15:55, 22-02-2018 | #10



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - [решено] ssh логин пользователя с правами root

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Как root`у разрешить подключаться по ssh masus Общий по FreeBSD 13 23-06-2016 14:19
Redhat/Fedora - sudo - ошибка при выполнении команды с правами root __sa__nya Общий по Linux 7 16-05-2015 10:21
Debian/Ubuntu - Ubuntu 10.04. Проблемы с правами, пользователями и root Skiv444 Общий по Linux 1 12-08-2010 08:38
Redhat/Fedora - Запуск Apache с правами root NetWolf Общий по Linux 5 28-05-2010 17:46
Веб интерфейс с правами root WebCode Программное обеспечение Linux и FreeBSD 10 11-05-2005 19:14




 
Переход