/usr väärässä omistuksessa 8070:9999 --- mistähän tuo ilmestyi?

[ajaaskel]

En ole varma, mikä sekoitti /usr haaran omistuksen kotikoneellani merkillisille lukemille 8070:9999. Jäljet näytti jatkuvan "libtiff.so" suuntaan.  Ilmiön havaitsin välittömästi dovecot-core asennuksen jälkeen, mutta se ei välttämättä liity siihen mitenkään.  Viimeisimmät Ubuntu-päivitykset ajoin juuri äskettäin.  Näin se eteni:
- Palomuuri UFW nimittäin heitti herjan, että /usr väärässä omistuksessa.   
- Tarkastin, niinpä olikin tilanne ja monta muutakin asiaa oli 8070:9999 omistuksessa.
- Lääkkeeksi  sudo chown -R root:root /usr
- Hups, mitäs nyt?   Nyt ei sudo enää toimi!

Koodia: [Valitse]

sudo: polun /usr/bin/sudo omistajan on oltava uid 0 ja setuid-bitin on oltava asetettu
Sillä lailla.  Ei ollut mitään keinoa päästä rootiksi enää.   Piti käynnistää toinen asennus rinnakkaisesta osiosta ja käydä muuttamassa levylle sudoon takaisin suid.
 Tuossa oli pieni opetus:  Tuo chown aiheuttaa sivutuotteena jostain syystä, että sudo-tiedostolta putoaa pois suid, jonka jälkeen sitä ei pysty enää käyttämään.  Lääke siihen on tietty laittaa se takaisin (kayttäen eri osiosta käynnistettyä Linuxia ellet ole roottina toisessa päätteessä): 

Koodia: [Valitse]

sudo chmod 4755 /usr/bin/sudoTarkastin vielä erikseen toisen kerran, että siinä käy noin.  Jätin toki itseni rootiksi toisessa päätteessä, että pääsin heti korjaamaan.

Seuraavaksi yritin sammuttaa Mysql: n, eipä sammunut vaan komento jäi roikkumaan.  Tuo ongelma oli ilmestynyt aamun jälkeen, kun ajoin viimeisimmät päivitykset.

Kummallisuuksia näkyi syslogissa useitakin: apparmor oli estänyt mysql: n sammutuksen,  koneen kello oli hypähtänyt päivän aikana merkillisesti mutta syytä omistajuuden muutokseen en havainnut siellä.

Koodia: [Valitse]

Feb 17 23:14:38 ESPRIMO-P3521 kernel: [   26.612371] audit: type=1400 audit(1518902078.106:15): apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" name="/proc/1174/status" pid=1174 comm="mysqld" requested_mask="r" denied_mask="r" fsuid=123 ouid=123

Mielenkiintoinen ilta.   Varsinainen puuhani Postfix+Dovecot autentikointijutut (CRAM-MD5) jäivät hetkeksi lepäämään. Näkyy muuten erikoinen aika tuossa logissa. Koneen kello näyttää kuitenkin oikeaa aikaa juuri nyt.
 

[nm]

En ole varma, mikä sekoitti /usr haaran omistuksen kotikoneellani merkillisille lukemille 8070:9999. Jäljet näytti jatkuvan "libtiff.so" suuntaan.

Sattuuko järjestelmässä olemaan Samsungin tulostimen ajuri käytössä: https://www.linuxquestions.org/questions/linux-hardware-18/samsung-printer-driver-problems-4175542969

[SuperOscar]

Sattuuko järjestelmässä olemaan Samsungin tulostimen ajuri käytössä: https://www.linuxquestions.org/questions/linux-hardware-18/samsung-printer-driver-problems-4175542969

Samsung minullakin kävi mielessä, mutta lähinnä kelvottoman asennusohjelmansa ansiosta (ilmeisesti olettaa tulevansa ajetuksi root-käyttäjänä: sudoamalla aikaansaa juuri tuollaista tuhoa).

[ajaaskel]

Joo, Samsungeja on parikin kappaletta ollut jo pitkään. Merkillistä on se, että oheisen kuvan mukaan oletettavissa olevaan tapahtuma-aikaan 20:08 en ollut missään tekemisissä Samsungin kanssa vaan ajoin dovecot-core pakettia koneeseeni tarkoituksella käyttää siitä vain yhtä ohjelmaa (doveadm) ja koodata salasanoja sillä.  Poistin paketin ja laitoin uudestaan, mitään erikoista ei kuitenkaan sattunut.