Kirjoittaja Aihe: /usr väärässä omistuksessa 8070:9999 --- mistähän tuo ilmestyi?  (Luettu 3121 kertaa)

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
En ole varma, mikä sekoitti /usr haaran omistuksen kotikoneellani merkillisille lukemille 8070:9999. Jäljet näytti jatkuvan "libtiff.so" suuntaan.  Ilmiön havaitsin välittömästi dovecot-core asennuksen jälkeen, mutta se ei välttämättä liity siihen mitenkään.  Viimeisimmät Ubuntu-päivitykset ajoin juuri äskettäin.  Näin se eteni:
- Palomuuri UFW nimittäin heitti herjan, että /usr väärässä omistuksessa.   
- Tarkastin, niinpä olikin tilanne ja monta muutakin asiaa oli 8070:9999 omistuksessa.
- Lääkkeeksi  sudo chown -R root:root /usr
- Hups, mitäs nyt?   Nyt ei sudo enää toimi!
Koodia: [Valitse]
sudo: polun /usr/bin/sudo omistajan on oltava uid 0 ja setuid-bitin on oltava asetettu
Sillä lailla.  Ei ollut mitään keinoa päästä rootiksi enää.   Piti käynnistää toinen asennus rinnakkaisesta osiosta ja käydä muuttamassa levylle sudoon takaisin suid.
 Tuossa oli pieni opetus:  Tuo chown aiheuttaa sivutuotteena jostain syystä, että sudo-tiedostolta putoaa pois suid, jonka jälkeen sitä ei pysty enää käyttämään.  Lääke siihen on tietty laittaa se takaisin (kayttäen eri osiosta käynnistettyä Linuxia ellet ole roottina toisessa päätteessä): 
Koodia: [Valitse]
sudo chmod 4755 /usr/bin/sudoTarkastin vielä erikseen toisen kerran, että siinä käy noin.  Jätin toki itseni rootiksi toisessa päätteessä, että pääsin heti korjaamaan.

Seuraavaksi yritin sammuttaa Mysql: n, eipä sammunut vaan komento jäi roikkumaan.  Tuo ongelma oli ilmestynyt aamun jälkeen, kun ajoin viimeisimmät päivitykset.

Kummallisuuksia näkyi syslogissa useitakin: apparmor oli estänyt mysql: n sammutuksen,  koneen kello oli hypähtänyt päivän aikana merkillisesti mutta syytä omistajuuden muutokseen en havainnut siellä.

Koodia: [Valitse]
Feb 17 23:14:38 ESPRIMO-P3521 kernel: [   26.612371] audit: type=1400 audit(1518902078.106:15): apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" name="/proc/1174/status" pid=1174 comm="mysqld" requested_mask="r" denied_mask="r" fsuid=123 ouid=123

Mielenkiintoinen ilta.   Varsinainen puuhani Postfix+Dovecot autentikointijutut (CRAM-MD5) jäivät hetkeksi lepäämään. Näkyy muuten erikoinen aika tuossa logissa. Koneen kello näyttää kuitenkin oikeaa aikaa juuri nyt.
 
« Viimeksi muokattu: 17.02.18 - klo:23.07 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

nm

  • Käyttäjä
  • Viestejä: 16232
    • Profiili
En ole varma, mikä sekoitti /usr haaran omistuksen kotikoneellani merkillisille lukemille 8070:9999. Jäljet näytti jatkuvan "libtiff.so" suuntaan.

Sattuuko järjestelmässä olemaan Samsungin tulostimen ajuri käytössä: https://www.linuxquestions.org/questions/linux-hardware-18/samsung-printer-driver-problems-4175542969

SuperOscar

  • Käyttäjä
  • Viestejä: 3993
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Sattuuko järjestelmässä olemaan Samsungin tulostimen ajuri käytössä: https://www.linuxquestions.org/questions/linux-hardware-18/samsung-printer-driver-problems-4175542969

Samsung minullakin kävi mielessä, mutta lähinnä kelvottoman asennusohjelmansa ansiosta (ilmeisesti olettaa tulevansa ajetuksi root-käyttäjänä: sudoamalla aikaansaa juuri tuollaista tuhoa).
pöytäkone 1, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; NUC: openSUSE Leap 15.5; RPi 1: FreeBSD 13.2-RELEASE; RPi 2: LibreELEC 11

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Joo, Samsungeja on parikin kappaletta ollut jo pitkään. Merkillistä on se, että oheisen kuvan mukaan oletettavissa olevaan tapahtuma-aikaan 20:08 en ollut missään tekemisissä Samsungin kanssa vaan ajoin dovecot-core pakettia koneeseeni tarkoituksella käyttää siitä vain yhtä ohjelmaa (doveadm) ja koodata salasanoja sillä.  Poistin paketin ja laitoin uudestaan, mitään erikoista ei kuitenkaan sattunut.
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.