Pääkäyttäjä ongelma

[eidos]

Hyvä ystävä asensi ubuntun koneelleni ja olin pääkäyttäjä, mutta onnistuin söhläämään itseni normaaliksi käyttäjäksi enkä täten voi asentaa edes ohjelmia.
Miten voisin kiertää turva jutun ja saada itseni pääkäyttäjäksi jälleen? Ilman että soittelisin kaverilleni ulkomaille kyselläkseni, mikä on hänen salasanansa.
Ubuntuni versio on: 7.04

[Pörzi]

Hyvä ystävä asensi ubuntun koneelleni ja olin pääkäyttäjä, mutta onnistuin söhläämään itseni normaaliksi käyttäjäksi enkä täten voi asentaa edes ohjelmia.
Miten voisin kiertää turva jutun ja saada itseni pääkäyttäjäksi jälleen? Ilman että soittelisin kaverilleni ulkomaille kyselläkseni, mikä on hänen salasanansa.
Ubuntuni versio on: 7.04

Yleensä koneen käyttöön ei kannata käyttää root-oikeuksia, koska niillä voi tehdä paljon enemmän tuhoa aikaan, kuin normaalilla käyttäjäoikeuksilla.

Voit tehdä root-oikeuksia vaativia tehtäviä kirjoittamalla käskyn alkuun sudo ja ennen käskyn suorittamista sinulta kysytään salasana, joka on sen käyttäjän, jona olet kirjautunut sisään, salasana.

Edit: Jos haluat käyttää graafisia sovelluksia... esim. tallentaa tekstieditorilla käyttäjältäsi kielletyn tiedoston päälle, voit avata tekstieditorin sudolla, jonka jälkeen avatulla tekstieditorilla voi muokata käyttäjältä kiellettyjäkin filuja.
$ sudo gedit
tai
$ sudo kate

[eidos]

Mitäs jos haluan takasin pääkäyttäjäksi? Koska en voi muuttaa edes kellonaikaa...
Ja toinen kysymys vielä
Kun itse en ole pääkäyttäjä ja haluaisin lisätä koneelle uuden käyttäjän, niin ubuntu ei anna minun lisätä käyttäjää, koska minulla ei ole oikeuksia siihen.
Eli toisin sanoen haluan pääkäyttäjäksi, mutta en vain tiedä miten se tehdään komentojen avulla.

[peran]

Mitähän antaa päätteessä käsky groups.

Tai siis löytyykö ko. listasta admin, mikäli löytyy pitäisi rootiksi päästä sudolla.

Mikäli millään käyttäjällä ei löydy admin:ia, kannattaa joku käyttäjä lisätä admin-ryhmään recovery-tilassa:

Koodia: [Valitse]

adduser käyttäjä admin

[eidos]

Yksi admin löytyy kyllä se mun kaveri, joka pisti ubuntun koneelle.
Voisitko kirjoittaa sen koodin, mikä mun pitää sit laittaa siä päätteessä?
Se sudo että pääsisin rootiksi, mikäli oikein ymmärrän.
Helkkari kun alkaa ärsyttään tää osaamattomuus

[Jallu59]

Mikäli millään käyttäjällä ei löydy admin:ia, kannattaa joku käyttäjä lisätä admin-ryhmään recovery-tilassa:

Koodia: [Valitse]

adduser käyttäjä admin

Huomio, jos pistät ylläolevaan komentoon oman tunnuksesi käyttäjäksi, sinun ei tarvitse pelata "ylimääräisen" käyttäjätunnuksen kanssa.

Recovery- tilaan siis pääset bootissa grubin kautta painamalla esc sen kolmen sekunnin aikana, kun grub sitä tarjoaa. Sieltä valitset käynnistettäväksi recovery(vai oliko se maintenace tms.) tilan, joka on merkkipohjainen komentotila rootin oikeuksin. Sinne kirjoitat tuon peranin loitsun.Sitten vaan lopetat ja uudellenkäynnistätä koneen komennolla:

Koodia: [Valitse]

shutdown -r now
Erityisvaroitus: Älä ole roottina hetkeäkään kauemmin kuin on pakko. Minä, vaikka jo 25 vuotta sitten tapailin unixia, onnistuin käyttäjäoikeuksia oikoessani sotkemaan roottina käyttäjäoikeudet niin, etten kyennyt kirjautumaan edes omalla tunnuksellani. Korjaus vei puoli tuntia/käyttäjä(5 kpl). Minä sentään ymmärsin vanhoilla pohjilla, miksi antamani komento aiheuttti niin laajat sivuvaikutukset, mutta tosi aloittelijoilla ei ole tätä kokemusta.

T:Jallu59

[shadowi]

Hyvä ystävä asensi ubuntun koneelleni ja olin pääkäyttäjä, mutta onnistuin söhläämään itseni normaaliksi käyttäjäksi enkä täten voi asentaa edes ohjelmia.
Miten voisin kiertää turva jutun ja saada itseni pääkäyttäjäksi jälleen? Ilman että soittelisin kaverilleni ulkomaille kyselläkseni, mikä on hänen salasanansa.
Ubuntuni versio on: 7.04

Vai oliko sinulla vain sudo-oikeudet...? Ja poistit itseltäsi oikeudet käyttää sudoa?

Vastaus tietysti ongelmaan on jo annettu edellisissä viesteissä, joten en puutu siihen, mutta oletko ajatellut mitä tämä "ystäväsi" voi tehdä koneellasi, kun hänellä kerran on admin-oikeudet? En millään pahalla tätä sano, mutta itse en ainakaan antaisi muille täysiä oikeuksia koneelleni vaikka olisivat miten hyviä ystäviä. Jos "ystäväsi" vaikka on laittanut koneellesi ssh-palvelimen, jotta voi vaikkapa etäkäyttöisesti auttaa sinua ongelmissasi ja hänen salasanansa saadaan selville tai on helposti arvattava,  voi koneellesi käydä huonosti. En nyt edes tarkemmin pohdi sitä vaihtoehtoa, että "ystäväsi" saattaisi tehdä koneellasi jotain pyytämättä sinun lupaasi, koska hänellä on täydet oikeudet koneeseesi - onhan hän hyvä ystäväsi. 

Eli toisin sanoen haluan pääkäyttäjäksi, mutta en vain tiedä miten se tehdään komentojen avulla.

Tuokin vähän kuulostaa siltä, että voisit melko paljon saada aikaan tuhoa yhdellä väärin kirjoitetulla komennolla pääkäyttäjän päätteessä... Ja kuten Jallu59 sanoi, älä tee muuta kuin täysin välttämättömät tehtävät pääkäyttäjänä.

Ota tämä vaikka rakentavana kritiikkinä.

[eidos]

kiitos näistä ohjeista!!!! tuli pelko persuksiin että sotken kohta jotain pahemmin, mutta pakko sitä on sitten koittaa

[MikkoJP]

Jos "ystäväsi" vaikka on laittanut koneellesi ssh-palvelimen, jotta voi vaikkapa etäkäyttöisesti auttaa sinua ongelmissasi ja hänen salasanansa saadaan selville tai on helposti arvattava,  voi koneellesi käydä huonosti.

Ei se ihan noin helppoa ole. Pitäisi vielä arvata se käyttäjätunnus -- tässä on tärkeä sudo-käytännön vahvuus verrattuna roottina toimimiselle. Eli ubuntussa pitää arvata käyttäjätunnus+salasana, useimissa jakeluissa riittää rootin salasanan arvaaminen.

(Tosin jokaisessa järkevässä asennuksessa on estetty etäkäyttäjän kirjautuminen roottina sisään. Eli tuolloin pitää kirjautua peruskäyttäjänä ja sitten su-komennolla vaihtaa rootiksi.)

m

[shadowi]

Jos "ystäväsi" vaikka on laittanut koneellesi ssh-palvelimen, jotta voi vaikkapa etäkäyttöisesti auttaa sinua ongelmissasi ja hänen salasanansa saadaan selville tai on helposti arvattava,  voi koneellesi käydä huonosti.

Ei se ihan noin helppoa ole. Pitäisi vielä arvata se käyttäjätunnus -- tässä on tärkeä sudo-käytännön vahvuus verrattuna roottina toimimiselle. Eli ubuntussa pitää arvata käyttäjätunnus+salasana, useimissa jakeluissa riittää rootin salasanan arvaaminen.

(Tosin jokaisessa järkevässä asennuksessa on estetty etäkäyttäjän kirjautuminen roottina sisään. Eli tuolloin pitää kirjautua peruskäyttäjänä ja sitten su-komennolla vaihtaa rootiksi.)

m

Minä nyt pidin itsestään selvyytenä pääkäyttäjän kirjautumisen estämistä ssh:lla... Kaikki edes vähän tietoturvasta tietoiset estävät pääkäyttäjän etäkirjautumiset.  Eikä tässä tapauksessa edes luultavasti ole rootin salasanaa aktivoitu, kun buntusta on kyse.

Ja *buntujen sudo-käytäntö ei ole vahvuus vaan heikkous. *buntuissa riittää sen sudottajan salasanan ja tunnuksen tietäminen järjestelmän murtamiseen, kun taas järjestelmissä joissa täytyy kirjautua pääkäyttäjäksi, on saatava selville oikeutettuun joukkoon kuuluvan käyttäjän tunnus ja salasana sekä pääkäyttäjän salasana. Huomaa yksi salasana enemmän kuin perus *buntuissa.

Eikä sudoa edes ole tarkoitettu pääkäyttäjän oikeuksien kokonaisvaltaiseen korvaamiseen, vaan tiettyjen komentojen ajamiseen poikkeavilla oikeuksilla.

[MikkoJP]

Ja *buntujen sudo-käytäntö ei ole vahvuus vaan heikkous. *buntuissa riittää sen sudottajan salasanan ja tunnuksen tietäminen järjestelmän murtamiseen, kun taas järjestelmissä joissa täytyy kirjautua pääkäyttäjäksi, on saatava selville oikeutettuun joukkoon kuuluvan käyttäjän tunnus ja salasana sekä pääkäyttäjän salasana. Huomaa yksi salasana enemmän kuin perus *buntuissa.

Eikä sudoa edes ole tarkoitettu pääkäyttäjän oikeuksien kokonaisvaltaiseen korvaamiseen, vaan tiettyjen komentojen ajamiseen poikkeavilla oikeuksilla.

Onhan se toki noinkin :-) Ubuntujen sudo taitaa oletuksena  olla kaikkivoipainen?

[janne]

Ja *buntujen sudo-käytäntö ei ole vahvuus vaan heikkous. *buntuissa riittää sen sudottajan salasanan ja tunnuksen tietäminen järjestelmän murtamiseen, kun taas järjestelmissä joissa täytyy kirjautua pääkäyttäjäksi, on saatava selville oikeutettuun joukkoon kuuluvan käyttäjän tunnus ja salasana sekä pääkäyttäjän salasana. Huomaa yksi salasana enemmän kuin perus *buntuissa.

miten sen nyt ottaa... yhtä hyvin järjestelmässä voi olla joku local exploit jolla osaava tekijä saa pääkäyttäjän oikeudet riippumatta pääkäyttäjän salasanasta (kuten nyt taitaa olla kaikissa linuxeissa?). eiköhän joka järjestelmässä ole kuitenkin ensiarvoisen tärkeää, että järjestelmään ei pystytä murtautumaan millään tunnuksilla. sitä paitsi, 'oikeutettuun joukkoon' kuuluvan selvittäminen ei usein vaadi kummoistakaan magiaa kun /etc/passwd ja /etc/group ovat kaikkien luettavissa.

Eikä sudoa edes ole tarkoitettu pääkäyttäjän oikeuksien kokonaisvaltaiseen korvaamiseen, vaan tiettyjen komentojen ajamiseen poikkeavilla oikeuksilla.

se toimii varsin hyvin siinäkin.

[MikkoJP]

miten sen nyt ottaa... yhtä hyvin järjestelmässä voi olla joku local exploit jolla osaava tekijä saa pääkäyttäjän oikeudet riippumatta pääkäyttäjän salasanasta (kuten nyt taitaa olla kaikissa linuxeissa?).

Vaikkapa rompun tyrkkääminen sisään & virtakytkin riittää aika usein.

[mgronber]

miten sen nyt ottaa... yhtä hyvin järjestelmässä voi olla joku local exploit jolla osaava tekijä saa pääkäyttäjän oikeudet riippumatta pääkäyttäjän salasanasta (kuten nyt taitaa olla kaikissa linuxeissa?).

Vaikkapa rompun tyrkkääminen sisään & virtakytkin riittää aika usein.

Tuo vaatii fyysisen pääsyn koneelle eli se on täysin eri sarjaa kuin etänä tehtävät hyökkäykset.

[mgronber]

miten sen nyt ottaa... yhtä hyvin järjestelmässä voi olla joku local exploit jolla osaava tekijä saa pääkäyttäjän oikeudet riippumatta pääkäyttäjän salasanasta (kuten nyt taitaa olla kaikissa linuxeissa?).

Tuo karsii tekijöitä jo aika paljon ja vaatii enemmän suunnitelmallisuutta. Jos koneelle murtaudutaan selvittämällä tavalla tai toisella admin-ryhmään kuuluvan käyttäjän salasana niin hyökkääjällä on välittömästi root-oikeudet. Kyllä tässä minusta on selkeä etu käytettäessä erillistä root-tunnusta ja jätettäessä sudo kokonaan pois.

Jos nyt muistan oikein niin sudonkin kanssa on mahdollista käyttää erillistä salasanaa jonka perusteella saadaan root-oikeudet. Tämä lienee tietoturvan, käytettävyyden ja joustavuuden kannalta paras ratkaisu. Tässä vaihtoehdossa on sekin etu että root:lla ei tarvitse olla omaa salasanaa ja tämän seurauksena maailma ei kaadu vaikka unohtaisi kieltää kirjautumisen root-tunnukselle ssh:n kautta.

Tätä sivuten voisinkin todeta että ssh-palvelimen oletusasetukset ovat idioottimaiset. Minusta root-tunnuksella kirjautumisen tulisi olla oletuksena estettynä.

eiköhän joka järjestelmässä ole kuitenkin ensiarvoisen tärkeää, että järjestelmään ei pystytä murtautumaan millään tunnuksilla.

Tietysti. Etäkirjautuminen tulisikin estää kaikilta joilla ei ole siihen tarvetta ja tämän lisäksi varmistaa että sallittujen tunnuksienkin salasanat ovat riittävän vahvat.

[shadowi]

Ja *buntujen sudo-käytäntö ei ole vahvuus vaan heikkous. *buntuissa riittää sen sudottajan salasanan ja tunnuksen tietäminen järjestelmän murtamiseen, kun taas järjestelmissä joissa täytyy kirjautua pääkäyttäjäksi, on saatava selville oikeutettuun joukkoon kuuluvan käyttäjän tunnus ja salasana sekä pääkäyttäjän salasana. Huomaa yksi salasana enemmän kuin perus *buntuissa.

miten sen nyt ottaa... yhtä hyvin järjestelmässä voi olla joku local exploit jolla osaava tekijä saa pääkäyttäjän oikeudet riippumatta pääkäyttäjän salasanasta (kuten nyt taitaa olla kaikissa linuxeissa?).

Umm... Jätin nuo haavoittuvuudet pois keskustelusta, koska puhuin "allmighty sudoer vs. normikäyttäjä + root"-konseptista. Haavoittuvuuksista ja niiden ehkäisystä löytyisi kirjoitettavaa varmasti kokonaisen uuden ketjun verran... 

Eikä sudoa edes ole tarkoitettu pääkäyttäjän oikeuksien kokonaisvaltaiseen korvaamiseen, vaan tiettyjen komentojen ajamiseen poikkeavilla oikeuksilla.

se toimii varsin hyvin siinäkin.

Vaikka ei olekaan tietoturvallisesti mikään optimaalisin ratkaisu. Tosin kotikoneella, jossa ei ole palveluita näkyvillä nettiin päin, kyseinen menetelmäkin on vielä ihan siedettävä keino.

Tätä sivuten voisinkin todeta että ssh-palvelimen oletusasetukset ovat idioottimaiset. Minusta root-tunnuksella kirjautumisen tulisi olla oletuksena estettynä.

Kun sinulla on valta koneeseesi, sinulla on myös velvollisuus sen säätämiseen... Mutta kyllä olet oikeassa. 

[audi]

Haavoittuvuuksista ja niiden ehkäisystä löytyisi kirjoitettavaa varmasti kokonaisen uuden ketjun verran... 

Voisi olla mielenkiintoista luettavaa. Joku varmaan sanoo, että tietoturvaan liittyviä aiheita täällä on paljon (+ käytä hakua), mutta jokin tiivistetty "virallinen" opas tai kirjoitus blogiin olisi hyvä.