hostnamen vaihdossa sählätty - miten oikeudet root:iin takaisin?

[accro]

Elikkä hostnamea vaihtaessa pääsi tapahtumaan virhe, vaihdoin ainoastaan /etc/hostname:sta käyttäjänimeä, ja nyt kun koitan käyttää sudo:a, tulee tällaista: sudo: unable to lookup konsoli-desktop via gethostbyname().
Tiedän nyt että /etc/hosts -tiedostoa olisi pitänyt muokata /etc/hostname:n muokkaamista ennen, mutta sekavan infon takia säädin sen nyt tuohon jamaan. Jostain syystä en pääse singlenä  boottimaan järjestelmää, vai muokkaankohan vain väärin boottia. Jostain kuitenkin ratkaisu pitäisi löytää, live-cd:n kanssa desktop vain jumitti mustaksi eikä suostunut toimimaan. Ratkaisua?

[_Pete_]

Elikkä hostnamea vaihtaessa pääsi tapahtumaan virhe, vaihdoin ainoastaan /etc/hostname:sta käyttäjänimeä, ja nyt kun koitan käyttää sudo:a, tulee tällaista: sudo: unable to lookup konsoli-desktop via gethostbyname().
Tiedän nyt että /etc/hosts -tiedostoa olisi pitänyt muokata /etc/hostname:n muokkaamista ennen, mutta sekavan infon takia säädin sen nyt tuohon jamaan. Jostain syystä en pääse singlenä  boottimaan järjestelmää, vai muokkaankohan vain väärin boottia. Jostain kuitenkin ratkaisu pitäisi löytää, live-cd:n kanssa desktop vain jumitti mustaksi eikä suostunut toimimaan. Ratkaisua?

Käynnistä kone bootvalikosta recovery modessa jolloin pääset suoraan rootshelliin...

[raimo]

Joo, ja se boot-valikko = Grub-menu tulee näkyväksi Esc -näppäimellä jos se ei muuten näy buuttauksen alussa.
Ja valitse se kernel jonka rivin lopussa lukee "Recovery mode". Kone käynnistyy root-oikeuksin komentoriville.

Jos hostname vaihdetaan, pitää uusi nimi eli /etc/hostname tiedostossa oleva nimi, ilmetä myös /etc/hosts tiedostossa, osoittaen koneen IP-osoitteeseen.

Suomeksi jos hostname vaihdetaan (käsin) /etc/hostname ja /etc/hosts pitää molemmissa olla sama nimi, muutoin sudo lakkaa toimimasta. Korjaus onnistuu parhaiten juuri tuolla Recovery mode -käynnistyksellä.

Lue tuolta lisää http://forum.ubuntu-fi.org/index.php?topic=5256#msg38182

[Squirrel]

Sitten kun saat kuntoon, niin kannattaa se rootin salasana määritellä, ei tarvitse pelleillä. Voit sitten vaihtaa ilman sudoakin rootiksi.

[janne]

Sitten kun saat kuntoon, niin kannattaa se rootin salasana määritellä, ei tarvitse pelleillä. Voit sitten vaihtaa ilman sudoakin rootiksi.

minä olen aikalailla eri mieltä, mutta kukin toki tavallaan. tuon kun tekee, niin rootin tili on avoinna hyökkäyksille ja root on aika paljon helpommin arvattavissa oleva käyttäjätunnus kuin vaikkapa matti. minusta ei ole mitään syytä rikkoa distron omaa tapaa hoitaa asioita.

[Squirrel]

minä olen aikalailla eri mieltä, mutta kukin toki tavallaan. tuon kun tekee, niin rootin tili on avoinna hyökkäyksille ja root on aika paljon helpommin arvattavissa oleva käyttäjätunnus kuin vaikkapa matti. minusta ei ole mitään syytä rikkoa distron omaa tapaa hoitaa asioita.

Yleensä kannattaakin estää rootin loggautuminen ssh:n kautta, jolloinka rootiksi pääsee vain localina. Taikka kirjautumalla ensin jollain toisella käyttäjällä, jolloinka "arvattavuus" nousee samaan tasoon kuin ennen. Toisaalta ne käyttäjätunnukset saa selville fingerillä, tosin ei se ihan porttiskannausta vasta, mutta tekemällä skriptin joka kolkuttelee almanakasta löytyviä nimiä serveriä. Taikka katsomalla löytyykö niiltä kotihakemistoja. Itse en laske käyttäjätunnuksen arvattomuudelle yhtään, kun kuitenkaan se ei ole kovin vaikea työ ottaa selville.

[janne]

Yleensä kannattaakin estää rootin loggautuminen ssh:n kautta, jolloinka rootiksi pääsee vain localina.

ei yleensä vaan aina.

Taikka kirjautumalla ensin jollain toisella käyttäjällä, jolloinka "arvattavuus" nousee samaan tasoon kuin ennen.

tämä on kyllä totta, mutta edelleenkään rootin tilin aktivoimiseen ei ole mitään tarvetta ja käytännössä se aiheuttaa tarpeen muistaa sen olemassaolo aina palveluita konffatessa ja edelleen lisää järjestelmään yhden ylimäärisen heikkouden.

Toisaalta ne käyttäjätunnukset saa selville fingerillä.

jaa saa vai? monellakos ubuntukoneella on ulkomaailmaan vastaileva finger-serveri asennettuna?

Taikka katsomalla löytyykö niiltä kotihakemistoja.

mitenkäs kotihakemistot näkyvät ubuntun oletusasennuksesta ulospäin?

...tosin ei se ihan porttiskannausta vasta, mutta tekemällä skriptin joka kolkuttelee almanakasta löytyviä nimiä serveriä.
...

siis nettiähn on nykyiseläänkin täynnä tuollaisia scriptejä hyödyntäviä matoja. yllättäen ne kokeilevat oletuksena kaikkia linux-järjestelmistä varmasti ja usein löytyviä tunnuksia ja kuin sattuman kautta englantilaisia nimiä.

omalle serverilleni tulee ssh-porttii kolkutteluja juuri tuollaisilta scripteiltä satoja päivässä. yksikään ei ole arvannut vielä yhtään tunnusta oikein. ei niin, että oikein arvannutkaan scripti pääsisi yrittämään brute-force hyökkäystä, mutta ovatpahan tuonkin verran kauempana.

Itse en laske käyttäjätunnuksen arvattomuudelle yhtään, kun kuitenkaan se ei ole kovin vaikea työ ottaa selville.

älä sitten. oikeasti nuo hyökkäykset ovat hyvin yleisiä ja esim. työkaverini ssh-palvelimella onnistuttiin juuri jonkin aika sitten murtautumaan. onhan sitä linuxia tietty kiva asennella uusiksi...

[Squirrel]

ei yleensä vaan aina.

Tuo on kyllä totta, toisaalta jos on sisäverkko ja siinä on serveri nattaamassa yhteyttä netin välissä, en näe kovin suureksi uhkaksi verkkoa, jos koneella ei ole julkista ip:tä ja yhteys natattu, että joku rootiksi pääsisi, kun pitää ensin päästä sinne serverille.

tämä on kyllä totta, mutta edelleenkään rootin tilin aktivoimiseen ei ole mitään tarvetta ja käytännössä se aiheuttaa tarpeen muistaa sen olemassaolo aina palveluita konffatessa ja edelleen lisää järjestelmään yhden ylimäärisen heikkouden.

Linuxin yksi hienoista puolista minusta on juuri se, että ei tarvitse tehdä kaikkia välttämättä juuri niin, kuin kehistystiimi sen on kuvitellut. Tässä rootin salasanattomuudessa on mielestäni kehitystiimiltä moka.

jaa saa vai? monellakos ubuntukoneella on ulkomaailmaan vastaileva finger-serveri asennettuna?

Enpä ole selvitellyt, vastaileeko ubuntun finger verkkoon. Red Hatin ainakin vastaili pari vuotta sitten, samaten Debianin versiossa. Tosin näistä kummastakaan en tiedä, onko ne tullut distron mukana vai asennettu jälkikäteen.

mitenkäs kotihakemistot näkyvät ubuntun oletusasennuksesta ulospäin?

Ajattelin mahdollista serveriasennusta

siis nettiähn on nykyiseläänkin täynnä tuollaisia scriptejä hyödyntäviä matoja. yllättäen ne kokeilevat oletuksena kaikkia linux-järjestelmistä varmasti ja usein löytyviä tunnuksia ja kuin sattuman kautta englantilaisia nimiä.

omalle serverilleni tulee ssh-porttii kolkutteluja juuri tuollaisilta scripteiltä satoja päivässä. yksikään ei ole arvannut vielä yhtään tunnusta oikein. ei niin, että oikein arvannutkaan scripti pääsisi yrittämään brute-force hyökkäystä, mutta ovatpahan tuonkin verran kauempana.

Heh, noita kolkutteluja tulee tosi paljon nykyään niin servereille kuin työpöytäkoneillekkin, en jaksa enään edes paljoa niitä seurata, on sen verran muuta tekemistä.

älä sitten. oikeasti nuo hyökkäykset ovat hyvin yleisiä ja esim. työkaverini ssh-palvelimella onnistuttiin juuri jonkin aika sitten murtautumaan. onhan sitä linuxia tietty kiva asennella uusiksi...

Nää on aina ikäviä, kun murtaudutaan, mutta en usko että siltä olisi vältytty, jos käyttäjätunnus olisi ollut toinen.

[Tuplanolla]

mitenkäs kotihakemistot näkyvät ubuntun oletusasennuksesta ulospäin?

Ajattelin mahdollista serveriasennusta

Miten se sitten eroaa tuosta desktop versiosta muka että siinä nsitten kotihakemistot näkyvät?

[Squirrel]

mitenkäs kotihakemistot näkyvät ubuntun oletusasennuksesta ulospäin?

Ajattelin mahdollista serveriasennusta

Miten se sitten eroaa tuosta desktop versiosta muka että siinä nsitten kotihakemistot näkyvät?

Jos siinä on on apache ja public_html -kansio, niin <ip/domain>/~nick

[janne]

mitenkäs kotihakemistot näkyvät ubuntun oletusasennuksesta ulospäin?

Ajattelin mahdollista serveriasennusta

Miten se sitten eroaa tuosta desktop versiosta muka että siinä nsitten kotihakemistot näkyvät?

ei ubuntukoneelta näy oletuksena missään asennuksessa mitään ulospäin. kaikki ulospäin näkyvä on erikseen asennettava ja aloittelijan on tietysti mahdollista tehdä jotain sellaista tietämättäänkin. juurikin tästä syystä minusta on varsin typerää antaa tietoturvaa heikentäviä ohjeita omien (muiden distrojen käytössä vakiintuneiden) mieltymystensä mukaan ja väittää, että "tietty se mun ehdottama muutos otetaan huomioon serveriä konffatessa".

[accro]

Kiitoksia avusta, homma on hoidossa. Tosin jouduin sitten kuitenkin asentamaan käyttiksen uudelleen, ei sitä vielä kaikkea osaa ja onhan tuo Windows-ajoista jäänyt piirre pistää uusiksi jos joku hajoaa.