On Mon, Aug 11, 2003 at 12:57:54AM +0400, Dmitry V. Levin wrote:
> On Sun, Aug 10, 2003 at 09:59:00PM +0400, Andrey Brindeew wrote:
> > 1. Пароль рута поменять не удается. Несмотря на сообщение об удачной
> >    смене реквизитов, рутовый пароль остается старым.
> 
> Детали?

[Mon Aug 11 01:38:38][root@tool.servers.highway.ru : ~]
# passwd

You can now choose the new password or passphrase.

A valid password should be a mix of upper and lower case letters,
digits and other characters.  You can use an 8 character long
password with characters from at least 3 of these 4 classes, or
a 7 character long password containing characters from all the
classes.  Characters that form a common pattern are discarded by
the check.

A passphrase should be of at least 3 words, 12 to 40 characters
long and contain enough different characters.

Alternatively, if noone else can see your terminal now, you can
pick this as your password: "slight_buy:sir".

Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.
[Mon Aug 11 01:39:09][root@tool.servers.highway.ru : ~]
# ^d
[Mon Aug 11 01:40:08][abr@tool.servers.highway.ru : ~]
$ su -
Password:
su: Authentication failure
[Mon Aug 11 01:40:47][abr@tool.servers.highway.ru : ~]
$ su -
Password:
[Mon Aug 11 01:40:52][root@tool.servers.highway.ru : ~]
#

В первом случае пароль был новый, во втором - старый.

> > 2. На днях решил ужесточить политику безопасности на сервере - выставил
> >    PermitRootLogin обратно в No и завел специального пользователя для
> >    провайдерских админов, настроив для него sudo.
> >    Изменил права на /bin/su:
> >    -rwx--x---    1 root     wheel       18760 Мар 21  2002 /bin/su
> 
> Это, очевидно, неправильно.
> Не надо изобретать велосипед, поскольку есть "control su wheelonly".

Нету там его, давно бы применил бы... :-(

> Для группы wheel пускать без пароля?
> Я бы не назвал это "ужесточением политики безопасности на сервере".

Пардон, спасибо за подсказку, надо было тщательнее читать комментарии. :-(

> Т.е. у вас нет control(8)?
> 
> Тогда
> chown 0:wheel /bin/su
> chmod 4710 /bin/su

спасибо, это помогло.

А как же быть со сменой пароля рута? :-(

Права в каталоге (и на сам каталог) /etc/tcb/root никак не отличаются от
остальных аккаунтов.

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.