From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.org>
Date: Mon, 11 Aug 2003 00:57:54 +0400
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Linux general discussion list <community@altlinux.ru>
Subject: Re: [Comm] /bin/su help needed!
Message-ID: <20030810205754.GA18094@basalt.office.altlinux.org>
References: <20030810175900.GA15072@abr.tool.ru>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="J/dobhs11T7y2rNN"
Content-Disposition: inline
In-Reply-To: <20030810175900.GA15072@abr.tool.ru>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sun, 10 Aug 2003 20:57:55 -0000
Archived-At: <http://lore.altlinux.org/community/20030810205754.GA18094@basalt.office.altlinux.org/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>


--J/dobhs11T7y2rNN
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Sun, Aug 10, 2003 at 09:59:00PM +0400, Andrey Brindeew wrote:
> 1. Пароль рута поменять не удается. Несмотря на сообщение об удачной
>    смене реквизитов, рутовый пароль остается старым.

Детали?

> 2. На днях решил ужесточить политику безопасности на сервере - выставил
>    PermitRootLogin обратно в No и завел специального пользователя для
>    провайдерских админов, настроив для него sudo.
>    Изменил права на /bin/su:
>    -rwx--x---    1 root     wheel       18760 Мар 21  2002 /bin/su

Это, очевидно, неправильно.
Не надо изобретать велосипед, поскольку есть "control su wheelonly".

>    Включил себя в группу wheel, перелогинился.
>    Пытаемся стать рутом:
>    $ su -
>    su: Authentication failure
> 
>    Даже пароль перестала спрашивать.
> 
> Содержимое файла /etc/pam.d/su:
> =====
> #%PAM-1.0
> auth    sufficient      /lib/security/pam_rootok.so
> # Uncomment the following line to implicitly trust users in the "wheel"
> # group.
> auth    sufficient      /lib/security/pam_wheel.so debug use_uid group=wheel trust

Для группы wheel пускать без пароля?
Я бы не назвал это "ужесточением политики безопасности на сервере".

> P.S. Дистрибутив ALM 2.0, со всеми обновлениями.

Т.е. у вас нет control(8)?

Тогда
chown 0:wheel /bin/su
chmod 4710 /bin/su


-- 
ldv

--J/dobhs11T7y2rNN
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/NrHS9viEa8HiNCkRAtDHAJ9AzNzoWlaO5OkpeE3hxhnCmb3X2gCfawYp
QdfET63EfVG7Il/nvRYsKis=
=dYnu
-----END PGP SIGNATURE-----

--J/dobhs11T7y2rNN--