[sisyphus] I: tcb scheme implemented for Sisyphus

[sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2195 bytes --]

Greetings!

Сизиф перешел на новую схему хранения паролей и авторизации по ним.
Название tcb восходит к понятию Trusted Computing Base из Orange Book.
Данная технология является воплощением принципа минимизации прав доступа и
позволяет, в частности, снизить права программам, осуществляющим доступ к
shadow, с suid-root до sgid-shadow и sgid-chkpwd.

Изменениям были подвергнуты следующие пакеты:
pam
pam-config
passwd
setup
shadow
tcb
vlock
xlockmore
kdebase

При этом в составе привилегированных программ произошли следующие
изменения:
/lib/helper/unix_chkpwd (suid-root) --> /sbin/chkpwd.d/tcb_chkpwd (sgid-shadow)
/usr/bin/passwd: suid-root --> sgid-shadow
/usr/bin/chage: suid-root --> sgid-shadow
/usr/bin/vlock: none --> sgid-chkpwd
/usr/X11R6/bin/xlock: none --> sgid-chkpwd
/usr/bin/kcheckpass: none --> sgid-chkpwd

Суть нового принципа хранения состоит в том, что вместо одного файла
/etc/shadow для всех теперь применяется /etc/tcb/<user>/shadow для каждого
пользователя. Детали реализации см. в tcb(5) из пакета tcb-utils.

Вследствие этого программа, желающая проверять пароль текущего
пользователя, должна быть sgid-chkpwd.

Меры предосторожности:
До начала обновления необходимо обеспечить наличие рутового shell'а на
момент окончания обновления, чтобы, в случае неудачи обновления файла
/etc/pam.d/system-auth, можно было его поправить.

Переход на tcb scheme должен произойти автоматически во время обновления
(рекомендую apt-get dist-upgrade).

Banner:
Переход на TCB стал возможным благодаря огромной работе, проделанной
авторами TCB (см. /usr/share/doc/libtcb-0.9.7/LICENSE):
Copyright (c) 2001 Rafal Wojtczuk <nergal@owl.openwall.com> - автор
Copyright (c) 2001 Solar Designer <solar@owl.openwall.com> - соавтор, аудит кода
Copyright (c) 2001 Dmitry V. Levin <ldv@alt-linux.org> - аудит кода


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Marat Khairullin]

On Thu, 20 Dec 2001 18:24:17 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:

>
> Вследствие этого программа, желающая проверять пароль текущего
> пользователя, должна быть sgid-chkpwd.
> 

Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow?
Можно ли будет вырубить все это хозяйство? 
В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin .
А как в ALT'овском tcb?
Уж слишком много приходилось на SCO'тине править ручками, если что-то падало ...
-- 
Marat Khairullin        8->     mailto:xmm@rambler.ru
               	                Marat.Khairullin@f92.n5049.z2.fidonet.org


From meniluha@mailru.com  Thu Dec 20 23:14:25 2001
Return-Path: <meniluha@mailru.com>
Delivered-To: sisyphus@localhost.ru.net
Received: from localhost.localdomain (d067.p3.col.ru [195.210.132.67])
	by linux.ru.net (Postfix) with ESMTP id 287D1278E
	for <sisyphus@altlinux.ru>; Thu, 20 Dec 2001 23:14:23 +0300 (MSK)
Received: from localhost.localdomain (localhost.localdomain [127.0.0.1])
	by localhost.localdomain (Postfix) with SMTP id 01E1216EFF
	for <sisyphus@altlinux.ru>; Thu, 20 Dec 2001 23:17:49 +0300 (MSK)
Date: Thu, 20 Dec 2001 23:17:49 +0300
From: Ilia Menchikh <meniluha@mailru.com>
To: sisyphus@altlinux.ru
Message-Id: <20011220231749.0402a1aa.meniluha@mailru.com>
X-Mailer: Sylpheed version 0.6.6 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [sisyphus] Block RPM
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>

Здравствуйте!

Столкнулся при очередном обновлении с тем, что:
apt-get update - все скачивает но зависимости не проверяет
apt-get <все что угодно> - молчит как партизан
rpm -q <что либо> - тоже молчание похожее на завис.

Очевидно блокирована база RPM.
Так как в системе понимаю мало сделал rpm --rebuilddb.

Итог: Вроде работает, но осадок остался ;)
Как-то недавно подобное письмо пробегало, но причину там установили или нет, не помню.

---
Илья

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1987 bytes --]

On Thu, Dec 20, 2001 at 10:53:17PM +0300, Marat Khairullin wrote:
> > Вследствие этого программа, желающая проверять пароль текущего
> > пользователя, должна быть sgid-chkpwd.
> 
> Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow?

А зачем informix'у проверять системные пароли?
Впрочем, это проблема informix (и Ваша, если выпала роль ответственного за
безопасность такой системы).

> Можно ли будет вырубить все это хозяйство? 

Ну вот, стоит сделать что-нибудь действительно хорошее, как сразу найдется
желающий это все вырубить. :)

Да, можно пользоваться /etc/shadow, см. документацию в пакетах *tcb*:
tcb(5), pam_tcb(5), tcb_convert(8).
Конфигурационные файлы, которые надо будет отредактировать:
/etc/nsswitch.conf, /etc/login.defs, /etc/pam.d/system-auth*
Файлы, права на которые надо изменить, приведены в первом письме.

Согласитесь, не стоит отказываться от установки tcb по умолчанию только
из-за того, что с ним может некорректно работать informix.

> В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin .

И /etc/group - Вы уверены?

> А как в ALT'овском tcb?

Помещение shadow в tcb - очень полезное решение прежде всего с точки
зрения безопасности, которое при этом не "сломает" софт.

Помещение passwd в tcb - гораздо менее важное для обеспечения безопасности
решение, при том что количество "сломанного" софта может быть гораздо
больше - слишком многие привыкли залезать в /etc/passwd ручками.

> Уж слишком много приходилось на SCO'тине править ручками, если что-то падало ...

Какое это имеет отношение к нашему tcb?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Sergei]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Все хорошо, только все проги, в которых используется pam_pwdb, будут слетать 
- - его нет. Вместо этого нужно вписать 
<тип> required /lib/security/pam_stack.so system=system-auth
У меня все это так и заработало (слетели X).

- -- 
С уважением, Епифанов Сергей.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8JBnO4ZpgWiwK7D8RAk4mAJ9Wu3Mb64N0Jh5cncBbiphlz+wiMQCgiPmZ
pAiuHWStqlYAzKYxiJcd1QU=
=vz2Q
-----END PGP SIGNATURE-----

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Sergey S. Skulachenko]

On Thu, 20 Dec 2001 18:24:17 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:

> Сизиф перешел на новую схему хранения паролей и авторизации по
> ним.

Пришлось однако поволноваться немного. После обновления и новой
загрузки машина неожиданно сообщила, что не знает логина user и
root. Пришлось сделать init 1. При поверхностном взгляде пароли
пользователей перенесены в новые разделы правильно. Радикальным
решением стало сменить пароль у пользователя. И всё заработало.
____________
С уважением,
С.С.Скулаченко

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Aleksandr Blohin]

On Sat, 22 Dec 2001 12:29:57 +0300
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

SSS> Пришлось однако поволноваться немного. После обновления и новой
SSS> загрузки машина неожиданно сообщила, что не знает логина user и
SSS> root. Пришлось сделать init 1. При поверхностном взгляде пароли

У меня такое случилось при эксперименте во время обновления. После
обновления всё прекрасно работает. Видимо у Вас при обновлении возникла
ошибка.

--
Best regards
AB
--
				... In nomine Altli, et Ctrli, et Spititus Deli, Reset!

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Ihar Viarheichyk]

После перехода на tcb авторизация проходит нормально, но при попытке
изменить пароль новому пользователю пишет:

passwd: Authentication service cannot retrieve authentication info.

с чем это может быть связано?

-- 
Igor Vergeichik
ICQ 47298730

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Sergei]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Суббота 22 Декабрь 2001 12:29, Вы написали:
> On Thu, 20 Dec 2001 18:24:17 +0300
>
> "Dmitry V. Levin" <ldv@alt-linux.org> wrote:
> > Сизиф перешел на новую схему хранения паролей и авторизации по
> > ним.
>
> Пришлось однако поволноваться немного. После обновления и новой
> загрузки машина неожиданно сообщила, что не знает логина user и
> root. Пришлось сделать init 1. При поверхностном взгляде пароли
> пользователей перенесены в новые разделы правильно. Радикальным
> решением стало сменить пароль у пользователя. И всё заработало.
Я просто удалил старый /etc/pam.d/system-auth и прописал новый... Не 
перегружаясь при этом.

- -- 
С уважением, Епифанов Сергей.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8JKER4ZpgWiwK7D8RAsfkAJ958HIqCDL0JzA/x7fgK6vBixP3ygCfcYqK
SstYmeiLLioHX2Bi6/B0OZg=
=Tr2m
-----END PGP SIGNATURE-----

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Marat Khairullin]

On Fri, 21 Dec 2001 12:51:35 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:

> On Thu, Dec 20, 2001 at 10:53:17PM +0300, Marat Khairullin wrote:
> > Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow?
> 
> А зачем informix'у проверять системные пароли?
> Впрочем, это проблема informix (и Ваша, если выпала роль ответственного за
> безопасность такой системы).
> ...
> Согласитесь, не стоит отказываться от установки tcb по умолчанию только
> из-за того, что с ним может некорректно работать informix.
> 
А если informix - это то ради чего нужен этот сервер?
Да и он не только некорректно работает, а вообще не работает (имеется в виду /etc/shadow) :)

> > В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin .
> 
> И /etc/group - Вы уверены?

Уверен. Вот файл рута:
*********
root:u_name=root:u_id#0:\
        :u_pwd=ляляляля:\
        :u_type=root:u_owner=root:u_cmdpriv=audit,audittrail,auth,su,passwd,backup,queryspace,create_backup,restore_backup,cron,lp,printqueue,printerstat,mem,sysadmin,terminal,uucp,root,shutdown:\
        :u_syspriv=suspendaudit,configaudit,writeaudit,execsuid,nopromain,label_terminal,chmodsugid,chown:\
        :u_minchg#0:u_exp#0:u_life#0:u_succhg#990417374:\
        :u_unsucchg#1006865059:u_pswduser=root:u_pickpw:u_genpwd:\
        :u_restrict@:u_nullpw@:u_suclog#1009173744:u_suctty=ttyp4:\
        :u_unsuclog#1009109731:u_maxtries#0:u_lock@:chkent:
*********
В SCO, tcb - это основная база, /etc/passwd, /etc/group и /etc/shadow тоже существуют,
а во время boot'а проверяется целостность tcb и этих файлов. Алгоритм проверки паролей
мне не известен - SCO не open source...

-- 
Marat Khairullin        8->     mailto:xmm@rambler.ru
               	                Marat.Khairullin@f92.n5049.z2.fidonet.org


From egor@atknet.ru  Mon Dec 24 09:53:07 2001
Return-Path: <egor@atknet.ru>
Delivered-To: sisyphus@localhost.ru.net
Received: from Tootankhamon.atknet.ru (ns.atknet.ru [213.24.49.1])
	by linux.ru.net (Postfix) with ESMTP id 943BE2531
	for <sisyphus@altlinux.ru>; Mon, 24 Dec 2001 09:53:07 +0300 (MSK)
Received: from shadow.atknet.ru (shadow.atknet.ru [213.24.49.49])
	by Tootankhamon.atknet.ru (8.11.2/8.11.2/ATKNet) with SMTP id fBO6uDE77738
	for <sisyphus@altlinux.ru>; Mon, 24 Dec 2001 09:56:13 +0300 (MSK)
Message-Id: <200112240656.fBO6uDE77738@Tootankhamon.atknet.ru>
Date: Mon, 24 Dec 2001 09:55:52 +0300
From: Igor Dobryninskiy <egor@atknet.ru>
To: Sisyphus mailing list <sisyphus@altlinux.ru>
Organization: =?KOI8-R?B?7+/vICLh0sjBzsfFzNjTy8HRINTFzMXXydrJz87OwdEgy8/N0A==?=
 =?KOI8-R?B?wc7J0SI=?=
X-Mailer: Sylpheed version 0.6.5 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [sisyphus] =?KOI8-R?B?88nO1MHL08nexdPLycUgxsHKzNkg1w==?= mc
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>

  Добрый день.

  После какого-то обновления приключилось следующее: при открытии любого
файла на редактирование MC ругается, что "загрузить синтаксический файл:
ошибка доступа к файлу". Синтаксические файлы есть, доступ к ним на чтение
тоже. Из под рута не ругается. Я mc пользуюсь нечасто, но всё равно
достаёт. Где бы это поправить?

-- 
  С уважением - Игорь Добрынинский, egor@atknet.ru

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 722 bytes --]

On Sat, Dec 22, 2001 at 08:27:41AM +0300, Sergei wrote:
> Все хорошо, только все проги, в которых используется pam_pwdb, будут слетать 
> - его нет. Вместо этого нужно вписать 
> <тип> required /lib/security/pam_stack.so system=system-auth

В Сизифе везде так написано.
> У меня все это так и заработало (слетели X).

Испорченный pamd-файл?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1012 bytes --]

On Sat, Dec 22, 2001 at 12:29:57PM +0300, Sergey S. Skulachenko wrote:
> > Сизиф перешел на новую схему хранения паролей и авторизации по
> > ним.
> 
> Пришлось однако поволноваться немного. После обновления и новой
> загрузки машина неожиданно сообщила, что не знает логина user и
> root. Пришлось сделать init 1. При поверхностном взгляде пароли
> пользователей перенесены в новые разделы правильно. Радикальным
> решением стало сменить пароль у пользователя. И всё заработало.

Очень странно, в норме этого не должно было случиться.
Что-нибудь особенное есть в Вашей системе, что могло повлиять на ход или
результат обновления?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 698 bytes --]

On Sat, Dec 22, 2001 at 01:25:29PM +0200, Ihar Viarheichyk wrote:
> После перехода на tcb авторизация проходит нормально, но при попытке
> изменить пароль новому пользователю пишет:
> 
> passwd: Authentication service cannot retrieve authentication info.
> 
> с чем это может быть связано?

rpm -V pam-config passwd?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Sergey S. Skulachenko]

On Mon, 24 Dec 2001 12:52:00 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:

>> Пришлось однако поволноваться немного. После обновления и
>>новой
>> загрузки машина неожиданно сообщила, что не знает логина user
>>и
>> root. Пришлось сделать init 1. При поверхностном взгляде
>>пароли
>> пользователей перенесены в новые разделы правильно.
>>Радикальным
>> решением стало сменить пароль у пользователя. И всё
>>заработало.

> Очень странно, в норме этого не должно было случиться.
> Что-нибудь особенное есть в Вашей системе, что могло повлиять
> на ход или
> результат обновления?

Кто бы знал. Обновление прошло чисто, насилий я не применяю.
Я надеюсь, Вы меня поняли: до ввода пароля дело просто не
доходило. Машина сообщала, что нет такого пользователя, и
требовала новый login. Были перепробованы все, зарегистрированные
на машине. После init 1 я попробовал завести нового пользователя.
Вижу, что новый пользователь с его паролем приняты. Тогда я
сменил пароль у старого пользователя. И только после этого
перезапустил машину. Все пользователи (включая root :-) были тут
же приняты. А свой пароль вернул на прежний, он не был отвергнут
более строгой системой. Т.е., опять же, дело было не в пароле.
____________
С уважением,
С.С.Скулаченко

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[AVL]

On Tue, 25 Dec 2001 00:01:49 +0300
"Sergey S. Skulachenko" <sssku@online.ru> wrote:
> Кто бы знал. Обновление прошло чисто, насилий я не применяю.
> Я надеюсь, Вы меня поняли: до ввода пароля дело просто не
> доходило. Машина сообщала, что нет такого пользователя, и
> требовала новый login. Были перепробованы все, зарегистрированные
> на машине. После init 1 я попробовал завести нового пользователя.
> Вижу, что новый пользователь с его паролем приняты. Тогда я
> сменил пароль у старого пользователя. И только после этого
> перезапустил машину. Все пользователи (включая root :-) были тут
> же приняты. А свой пароль вернул на прежний, он не был отвергнут
> более строгой системой. Т.е., опять же, дело было не в пароле.

а у меня вообще все чисто прошло. 
трясся как лист, но не удержался и прошел. рулетка, однако. :)

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Vitaly Lipatov]

On 25 December 2001 01:53, AVL wrote:
> On Tue, 25 Dec 2001 00:01:49 +0300
>
> "Sergey S. Skulachenko" <sssku@online.ru> wrote:
> > Кто бы знал. Обновление прошло чисто, насилий я не применяю.
> > Я надеюсь, Вы меня поняли: до ввода пароля дело просто не
> > доходило. Машина сообщала, что нет такого пользователя, и
> > требовала новый login. Были перепробованы все, зарегистрированные
> > на машине. После init 1 я попробовал завести нового пользователя.
> > Вижу, что новый пользователь с его паролем приняты. Тогда я
> > сменил пароль у старого пользователя. И только после этого
> > перезапустил машину. Все пользователи (включая root :-) были тут
> > же приняты. А свой пароль вернул на прежний, он не был отвергнут
> > более строгой системой. Т.е., опять же, дело было не в пароле.
>
> а у меня вообще все чисто прошло.
> трясся как лист, но не удержался и прошел. рулетка, однако. :)
Я пришел на работу с обновлением, на машине работало 7 человек,
я запустил apt-get dist-upgrade, никто даже не заметил как shadow 
переместился. Я никого предупреждать не стал, чтобы не волновались :)
-- 
Lav
Виталий Липатов
ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург
GNU! Linux! LaTeX! LyX!

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1768 bytes --]

On Tue, Dec 25, 2001 at 12:01:49AM +0300, Sergey S. Skulachenko wrote:
> >> Пришлось однако поволноваться немного. После обновления и
> >>новой
> >> загрузки машина неожиданно сообщила, что не знает логина user
> >>и
> >> root. Пришлось сделать init 1. При поверхностном взгляде
> >>пароли
> >> пользователей перенесены в новые разделы правильно.
> >>Радикальным
> >> решением стало сменить пароль у пользователя. И всё
> >>заработало.
> 
> > Очень странно, в норме этого не должно было случиться.
> > Что-нибудь особенное есть в Вашей системе, что могло повлиять
> > на ход или
> > результат обновления?
> 
> Кто бы знал. Обновление прошло чисто, насилий я не применяю.
> Я надеюсь, Вы меня поняли: до ввода пароля дело просто не
> доходило. Машина сообщала, что нет такого пользователя, и
> требовала новый login. Были перепробованы все, зарегистрированные
> на машине. После init 1 я попробовал завести нового пользователя.
> Вижу, что новый пользователь с его паролем приняты. Тогда я
> сменил пароль у старого пользователя. И только после этого
> перезапустил машину. Все пользователи (включая root :-) были тут
> же приняты. А свой пароль вернул на прежний, он не был отвергнут
> более строгой системой. Т.е., опять же, дело было не в пароле.

Странно, описанная Вами ситуация могла произойти только в случае, когда
попытка войти в систему предпринималась до окончания обновления.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Alexander Bokovoy]

On Mon, Dec 24, 2001 at 08:55:21AM +0300, Marat Khairullin wrote:
> On Fri, 21 Dec 2001 12:51:35 +0300
> "Dmitry V. Levin" <ldv@alt-linux.org> wrote:
> 
> > On Thu, Dec 20, 2001 at 10:53:17PM +0300, Marat Khairullin wrote:
> > > Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow?
> > 
> > А зачем informix'у проверять системные пароли?
> > Впрочем, это проблема informix (и Ваша, если выпала роль ответственного за
> > безопасность такой системы).
> > ...
> > Согласитесь, не стоит отказываться от установки tcb по умолчанию только
> > из-за того, что с ним может некорректно работать informix.
> > 
> А если informix - это то ради чего нужен этот сервер?
> Да и он не только некорректно работает, а вообще не работает (имеется в виду /etc/shadow) :)
> 
> > > В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin .
> > 
> > И /etc/group - Вы уверены?
> 
> Уверен. Вот файл рута:
> *********
> root:u_name=root:u_id#0:\
>         :u_pwd=ляляляля:\
>         :u_type=root:u_owner=root:u_cmdpriv=audit,audittrail,auth,su,passwd,backup,queryspace,create_backup,restore_backup,cron,lp,printqueue,printerstat,mem,sysadmin,terminal,uucp,root,shutdown:\
>         :u_syspriv=suspendaudit,configaudit,writeaudit,execsuid,nopromain,label_terminal,chmodsugid,chown:\
>         :u_minchg#0:u_exp#0:u_life#0:u_succhg#990417374:\
>         :u_unsucchg#1006865059:u_pswduser=root:u_pickpw:u_genpwd:\
>         :u_restrict@:u_nullpw@:u_suclog#1009173744:u_suctty=ttyp4:\
>         :u_unsuclog#1009109731:u_maxtries#0:u_lock@:chkent:
> *********
> В SCO, tcb - это основная база, /etc/passwd, /etc/group и /etc/shadow тоже существуют,
> а во время boot'а проверяется целостность tcb и этих файлов. Алгоритм проверки паролей
> мне не известен - SCO не open source...
Какое это отношение имеет к реализации TCB в ALT Linux и Owl? Там формат
файла другой.

-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
Nov 21 20:58:58 alconost kernel: VFS: Busy inodes after unmount. 
		    Self-destruct in 5 seconds.  Have a nice day...

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Ihar Viarheichyk]

On Mon, Dec 24, 2001 at 12:54:16PM +0300, Dmitry V. Levin wrote:
> On Sat, Dec 22, 2001 at 01:25:29PM +0200, Ihar Viarheichyk wrote:
> > После перехода на tcb авторизация проходит нормально, но при попытке
> > изменить пароль новому пользователю пишет:
> > 
> > passwd: Authentication service cannot retrieve authentication info.
> > 
> > с чем это может быть связано?
> 
> rpm -V pam-config passwd?
# rpm -V pam-config passwd
.M....G.   /usr/sbin/passwd


-- 
Igor Vergeichik
ICQ 47298730

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 904 bytes --]

On Wed, Dec 26, 2001 at 12:51:32PM +0200, Ihar Viarheichyk wrote:
> > > После перехода на tcb авторизация проходит нормально, но при попытке
> > > изменить пароль новому пользователю пишет:
> > > 
> > > passwd: Authentication service cannot retrieve authentication info.
> > > 
> > > с чем это может быть связано?
> > 
> > rpm -V pam-config passwd?
> # rpm -V pam-config passwd
> .M....G.   /usr/sbin/passwd

А почему испортились права на /usr/sbin/passwd?
Может быть, они испортились на каких-нибудь других важных файлах?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 846 bytes --]

On Wed, Dec 26, 2001 at 11:20:28AM +0200, Alexander Bokovoy wrote:
> > В SCO, tcb - это основная база, /etc/passwd, /etc/group и /etc/shadow тоже существуют,
> > а во время boot'а проверяется целостность tcb и этих файлов. Алгоритм проверки паролей
> > мне не известен - SCO не open source...
> Какое это отношение имеет к реализации TCB в ALT Linux и Owl? Там формат
> файла другой.

Там не формат, там дизайн другой.
Так что никакого отношения, просто любопытно.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Ihar Viarheichyk]

On Wed, Dec 26, 2001 at 02:23:10PM +0300, Dmitry V. Levin wrote:
> On Wed, Dec 26, 2001 at 12:51:32PM +0200, Ihar Viarheichyk wrote:
> > > > После перехода на tcb авторизация проходит нормально, но при попытке
> > > > изменить пароль новому пользователю пишет:
> > > > 
> > > > passwd: Authentication service cannot retrieve authentication info.
> > > > 
> > > > с чем это может быть связано?
> > > 
> > > rpm -V pam-config passwd?
> > # rpm -V pam-config passwd
> > .M....G.   /usr/sbin/passwd
> 
> А почему испортились права на /usr/sbin/passwd?
> Может быть, они испортились на каких-нибудь других важных файлах?
Не знаю. Я после апгрейда до tcb еще gdm устанавливал, может поэтому. Но
я потом переставил права:

-rwx--s---    1 root     shadow      12940 Dec 19 16:44 /usr/sbin/passwd

и все равно не работает. 

Какие еще файлы могут на это влиять? useradd, userdel, usermod
имеют права -rwxr-xr-x.





-- 
Igor Vergeichik
ICQ 47298730

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1334 bytes --]

On Wed, Dec 26, 2001 at 03:02:14PM +0200, Ihar Viarheichyk wrote:
> > > > > После перехода на tcb авторизация проходит нормально, но при попытке
> > > > > изменить пароль новому пользователю пишет:
> > > > > 
> > > > > passwd: Authentication service cannot retrieve authentication info.
> > > > > 
> > > > > с чем это может быть связано?
> > > > 
> > > > rpm -V pam-config passwd?
> > > # rpm -V pam-config passwd
> > > .M....G.   /usr/sbin/passwd
> > 
> > А почему испортились права на /usr/sbin/passwd?
> > Может быть, они испортились на каких-нибудь других важных файлах?
> Не знаю. Я после апгрейда до tcb еще gdm устанавливал, может поэтому. Но
> я потом переставил права:
> 
> -rwx--s---    1 root     shadow      12940 Dec 19 16:44 /usr/sbin/passwd
> 
> и все равно не работает. 
> 
> Какие еще файлы могут на это влиять? useradd, userdel, usermod
> имеют права -rwxr-xr-x.

Попробуйте отследить:
strace -fF -e trace=file /usr/sbin/passwd victim


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Ihar Viarheichyk]

On Wed, Dec 26, 2001 at 04:27:02PM +0300, Dmitry V. Levin wrote:
> Попробуйте отследить:
> strace -fF -e trace=file /usr/sbin/passwd victim
Разобрался. Спасибо. Проблема была в nsswitch.conf

> 
> Regards,
> 	Dmitry
> 
> +-------------------------------------------------------------------------+
> Dmitry V. Levin     mailto://ldv@alt-linux.org
> ALT Linux Team      http://www.altlinux.ru/
> Fandra Project      http://www.fandra.org/
> +-------------------------------------------------------------------------+
> UNIX is user friendly. It's just very selective about who its friends are.



-- 
Igor Vergeichik
ICQ 47298730

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 906 bytes --]

On Wed, Dec 26, 2001 at 03:37:14PM +0200, Ihar Viarheichyk wrote:
> > Попробуйте отследить:
> > strace -fF -e trace=file /usr/sbin/passwd victim
> Разобрался. Спасибо. Проблема была в nsswitch.conf

Действительно, забыл предупредить.

Внимание всем, у кого не работает passwd:

Проверьте "rpm -V glibc-core", и если файл nsswitch.conf изменен, то
убедитесь, что команда
grep '^shadow:.*tcb' /etc/nsswitch.conf
возвращает непустой результат.

Если результат пустой, то отредактируйте правило поиска для shadow в
nsswitch.conf


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re[2]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Kir]

Здравствуйте!

После обновления Сизифа на домашнем компьютере с последнего CD-updates 3
невозможно залогиниться как юзер. От рута - нормально.
Почитал рассылку:

Вы писали 26 декабря 2001 г., 17:12:55:


DVL> Действительно, забыл предупредить.
DVL> Внимание всем, у кого не работает passwd:
DVL> Проверьте "rpm -V glibc-core"

Проверил. Команда проходит, ответа нету.

DVL> , и если файл nsswitch.conf изменен,

Не изменен, дата создания и размер остались прежними.

DVL>  то убедитесь, что команда
DVL> grep '^shadow:.*tcb' /etc/nsswitch.conf
DVL> возвращает непустой результат.

Возвращает непустой

Файлы /etc/tcb/user_names/shedow имеют место
Попытка выкрутиться заменой паролей ничего не дала.

Подскажите, как быть?
-- 
С уважением,
 Kir                          sysiphus@fromru.com

Re: [sisyphus] I: tcb scheme implemented for Sisyphus

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 656 bytes --]

On Sat, Dec 29, 2001 at 01:40:08PM +0300, Kir wrote:
> После обновления Сизифа на домашнем компьютере с последнего CD-updates 3
> невозможно залогиниться как юзер. От рута - нормально.

Чем больше дополнительной информации, тем легче разобраться.
Попробуйте посмотреть логи.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re[2]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Kir]

Здравствуйте!

Вы писали 29 декабря 2001 г., 13:59:56:

DVL> On Sat, Dec 29, 2001 at 01:40:08PM +0300, Kir wrote:
>> После обновления Сизифа на домашнем компьютере с последнего CD-updates 3
>> невозможно залогиниться как юзер. От рута - нормально.

DVL> Чем больше дополнительной информации, тем легче разобраться.
DVL> Попробуйте посмотреть логи.

Подскажите, если не трудно, какие именно!
-- 
С уважением,
 Kir                          sysiphus@fromru.com

Re[2]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Kir]

Здравствуйте!

Вы писали 29 декабря 2001 г., 13:59:56:

DVL> On Sat, Dec 29, 2001 at 01:40:08PM +0300, Kir wrote:
>> После обновления Сизифа на домашнем компьютере с последнего CD-updates 3
>> невозможно залогиниться как юзер. От рута - нормально.

DVL> Чем больше дополнительной информации, тем легче разобраться.
DVL> Попробуйте посмотреть логи.

Вот что происходит при попытке войти юзером:
localhost pam_tcb[2070]: login: Authentication failed for aaa from (uid=0)



-- 
С уважением,
 Kir                          sysiphus@fromru.com

Re: Re[2]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Alexander Bokovoy]

On Tue, Jan 01, 2002 at 05:35:41PM +0300, Kir wrote:
> Здравствуйте!
> 
> Вы писали 29 декабря 2001 г., 13:59:56:
> 
> DVL> On Sat, Dec 29, 2001 at 01:40:08PM +0300, Kir wrote:
> >> После обновления Сизифа на домашнем компьютере с последнего CD-updates 3
> >> невозможно залогиниться как юзер. От рута - нормально.
> 
> DVL> Чем больше дополнительной информации, тем легче разобраться.
> DVL> Попробуйте посмотреть логи.
> 
> Вот что происходит при попытке войти юзером:
> localhost pam_tcb[2070]: login: Authentication failed for aaa from (uid=0)
А что говорит 
	fgrep shadow /etc/nsswitch.conf
?
-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
Nov 21 20:58:58 alconost kernel: VFS: Busy inodes after unmount. 
		    Self-destruct in 5 seconds.  Have a nice day...

Re[4]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Kir]

Здравствуйте!

Вы писали 1 января 2002 г., 17:44:30:

>>
>> Вот что происходит при попытке войти юзером:
>> localhost pam_tcb[2070]: login: Authentication failed for aaa from (uid=0)
AB> А что говорит 
AB>         fgrep shadow /etc/nsswitch.conf ?

Вот это:
#shadow: db files nisplus nis
shadow: tcb files nisplus nis


-- 
С уважением,
 Kir                          sysiphus@fromru.com

Re: Re[4]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Andrey]

Я сейчас пытаюсь восстановить возможность работы после этого хваленного tcb.
пока безрезультатно.
в Вашей ситуации нашел, что в файлах /etc/pam.d/* встречается слова
bluetooth.
удалите его на ...
но после этого я поймал сообщение в /var/log/auth/all
set_user_credentials failed

Удачи,
Андрей

PS: tcb очень мощная защита :-)

----- Original Message -----
From: "Kir" <sysiphus@fromru.com>
To: "Alexander Bokovoy" <sisyphus@altlinux.ru>
Sent: Tuesday, January 01, 2002 16:50
Subject: Re[4]: [sisyphus] I: tcb scheme implemented for Sisyphus


> Здравствуйте!
>
> Вы писали 1 января 2002 г., 17:44:30:
>
> >>
> >> Вот что происходит при попытке войти юзером:
> >> localhost pam_tcb[2070]: login: Authentication failed for aaa from
(uid=0)
> AB> А что говорит
> AB>         fgrep shadow /etc/nsswitch.conf ?
>
> Вот это:
> #shadow: db files nisplus nis
> shadow: tcb files nisplus nis
>
>
> --
> С уважением,
>  Kir                          sysiphus@fromru.com
>
>
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus


_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com

Re: Re[4]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Alexander Bokovoy]

On Wed, Jan 02, 2002 at 12:50:25AM +0300, Kir wrote:
> Здравствуйте!
> 
> Вы писали 1 января 2002 г., 17:44:30:
> 
> >>
> >> Вот что происходит при попытке войти юзером:
> >> localhost pam_tcb[2070]: login: Authentication failed for aaa from (uid=0)
> AB> А что говорит 
> AB>         fgrep shadow /etc/nsswitch.conf ?
> 
> Вот это:
> #shadow: db files nisplus nis
> shadow: tcb files nisplus nis
Попробуйте просто:
shadow: tcb nisplus nis
Во всяком случае, у меня так работает.
-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
Nov 21 20:58:58 alconost kernel: VFS: Busy inodes after unmount. 
		    Self-destruct in 5 seconds.  Have a nice day...

Re[6]: [sisyphus] I: tcb scheme implemented for Sisyphus

[Kir]

Здравствуйте!

>> >> Вот что происходит при попытке войти юзером:
>> >> localhost pam_tcb[2070]: login: Authentication failed for aaa from (uid=0)
>> AB> А что говорит 
>> AB>         fgrep shadow /etc/nsswitch.conf ?
>> 
>> Вот это:
>> #shadow: db files nisplus nis
>> shadow: tcb files nisplus nis
AB> Попробуйте просто:
AB> shadow: tcb nisplus nis
AB> Во всяком случае, у меня так работает.

Попробовал.
Теперь вместо
localhost pam_tcb[2070]: Authentication failed for aaa from (uid=0)
получаю в логе
localhost pam_tcb[1902]: Authentication failed for aaa from LOGIN (uid=0)
:-(((

-- 
С уважением,
 Kir                          sysiphus@fromru.com