اشکال در su (حل شد)

enghamid · 2016-07-04 18:58:56

با سلام و عرض ادب من su رو میزنم بدون دریافت رمز وارد روت میشه مورد بعدی این که تو فایل روت نیست در ضمن یوزر روت من رمز داره و یوزر خودم که حمید باشه اونم رمز داره

 hamid  ~  su
 root  /  home  hamid  cd
 root  ~ 

آخرین ویرایش توسط enghamid (2016-07-14 15:22:42)

FullMetalArcher · 2016-07-04 19:09:50

سلام
چیز عجیبی نیست!
و کاملا طبیعی هست!

Arcush · 2016-07-04 19:27:07

همونطور که مجتبی عزیز گفت، مشکلی وجود نداره و ناشی از time stamp هست. برای اطلاعات بیشتر این تیکه از man sudoers رو ببینید:

sudoers uses per-user time stamp files for credential caching.  Once a user has been
     authenticated, a record is written containing the uid that was used to authenticate,
     the terminal session ID, and a time stamp (using a monotonic clock if one is avail‐
     able).  The user may then use sudo without a password for a short period of time (5
     minutes unless overridden by the timeout option).  By default, sudoers uses a sepa‐
     rate record for each tty, which means that a user's login sessions are authenticated
     separately.  The tty_tickets option can be disabled to force the use of a single
     time stamp for all of a user's sessions.

آخرین ویرایش توسط Arcush (2016-07-04 19:43:32)

enghamid · 2016-07-04 19:46:08

اما امنیت سیستم پایین میاد من میخوام رمزمو بگیره

FullMetalArcher · 2016-07-04 19:49:42

Arcush نوشته است که:

همونطور که مجتبی عزیز گفت، مشکلی وجود نداره و ناشی از time stamp هست. برای اطلاعات بیشتر این تیکه از man sudoers رو ببینید:

sudoers uses per-user time stamp files for credential caching.  Once a user has been
     authenticated, a record is written containing the uid that was used to authenticate,
     the terminal session ID, and a time stamp (using a monotonic clock if one is avail‐
     able).  The user may then use sudo without a password for a short period of time (5
     minutes unless overridden by the timeout option).  By default, sudoers uses a sepa‐
     rate record for each tty, which means that a user's login sessions are authenticated
     separately.  The tty_tickets option can be disabled to force the use of a single
     time stamp for all of a user's sessions.

نه ارکوش جان قضیه time stamp فرق داره!
این یه چیز دیگس!

enghamid نوشته است که:

اما امنیت سیستم پایین میاد من میخوام رمزمو بگیره

با یوزر غیر ادمین وارد شود!

Arcush · 2016-07-04 20:00:44

برداشت من اینه که با کاربر غیر روت su رو میزنه و بدون پسورد، روت میشه. اگه همواره این اتفاق بیفته دیگه طبیعی ( =تنظیمات پیشفرض فایل های کانف sudo) نیست. در غیر اینصورت، اگه بخوایم طبیعی باشه، بجز time stamp چی سراغ دارید؟

آخرین ویرایش توسط Arcush (2016-07-04 20:05:58)

FullMetalArcher · 2016-07-04 20:07:43

Arcush نوشته است که:

برداشت من اینه که با کاربر غیر روت su رو میزنه و بدون پسورد، روت میشه. اگه همواره این اتفاق بیفته دیگه طبیعی ( =تنظیمات پیشفرض فایل های کانف sudo) نیست. در غیر اینصورت، اگه بخوایم طبیعی باشه، بجز time stamp چی سراغ دارید؟

ببین قضیه از این قراره که وقتی su میزنی و کاربرت جزء گروه wheel باشه به علت مجاز بودنش بدون پسورد دسترسی روت میده!

enghamid · 2016-07-04 20:17:51

Риал Краесис نوشته است که:

Arcush نوشته است که:
برداشت من اینه که با کاربر غیر روت su رو میزنه و بدون پسورد، روت میشه. اگه همواره این اتفاق بیفته دیگه طبیعی ( =تنظیمات پیشفرض فایل های کانف sudo) نیست. در غیر اینصورت، اگه بخوایم طبیعی باشه، بجز time stamp چی سراغ دارید؟

ببین قضیه از این قراره که وقتی su میزنی و کاربرت جزء گروه wheel باشه به علت مجاز بودنش بدون پسورد دسترسی روت میده!

من وقتی یه فایل نصب میکنم ازم پس میگیره خب الان su رو میزنم بدون پسوورد وارد روت میشه حالا همون فایل هارو بخوام نصب کنم از من رمز نمیخواد خب این باعث میشه امنیت کم بشه

Arcush · 2016-07-04 20:18:00

Риал Краесис نوشته است که:

Arcush نوشته است که:
برداشت من اینه که با کاربر غیر روت su رو میزنه و بدون پسورد، روت میشه. اگه همواره این اتفاق بیفته دیگه طبیعی ( =تنظیمات پیشفرض فایل های کانف sudo) نیست. در غیر اینصورت، اگه بخوایم طبیعی باشه، بجز time stamp چی سراغ دارید؟

ببین قضیه از این قراره که وقتی su میزنی و کاربرت جزء گروه wheel باشه به علت مجاز بودنش بدون پسورد دسترسی روت میده!

فکر نمی کنم اینطور باشه. چون یوزر من به گروه wheel تعلق داره. ولی su بدون پسورد، نمیره توی شل روت:

[[email protected] ~]$ groups
sys disk lp wheel network video optical storage scanner power arcush
[[email protected] ~]$ su
Password:

منبعی دارین؟

enghamid · 2016-07-13 19:57:39

با اجازتون هنوز مشکل پا برجاست لطفا راهنماییم کنید
با زدن su وارد root میشه پس رمز روتم رو باید بگیره

Arcush · 2016-07-13 22:40:09

خروجی دستور groups رو بذارید.

enghamid · 2016-07-13 23:05:05

Arcush نوشته است که:

خروجی دستور groups رو بذارید.

 hamid  ~  groups                                                       130 
lp wheel network video audio storage users plugdev hamid

enghamid · 2016-07-13 23:55:16

  nano 2.6.1                   File: /etc/pam.d/su                              

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
auth            sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            required        pam_unix.so
account         required        pam_unix.so
session         required        pam_unix.so

http://unix.stackexchange.com/questions … r-password

آخرین ویرایش توسط enghamid (2016-07-13 23:56:20)

Arcush · 2016-07-14 00:24:28

میتونستید به اینجا هم مراجعه کنید.
https://wiki.archlinux.org/index.php/Su#su_and_wheel
من چندین بار آرچ نصب کردم و در هیچ یک ازین دفعات، *فقط* با اضافه کردن یوزر به گروه ویل، دستور su بدون پسورد، دسترسی روت به اون یوزر نمیده. این کار، مستلزم دادن اجازه های بیشتری به یوزر هست. لطفا خروجی cat /etc/sudoers رو هم بذارید.

آخرین ویرایش توسط Arcush (2016-07-14 00:46:25)

enghamid · 2016-07-14 02:28:32

Arcush نوشته است که:

میتونستید به اینجا هم مراجعه کنید.
https://wiki.archlinux.org/index.php/Su#su_and_wheel
من چندین بار آرچ نصب کردم و در هیچ یک ازین دفعات، *فقط* با اضافه کردن یوزر به گروه ویل، دستور su بدون پسورد، دسترسی روت به اون یوزر نمیده. این کار، مستلزم دادن اجازه های بیشتری به یوزر هست. لطفا خروجی cat /etc/sudoers رو هم بذارید.

 hamid  ~  sudo cat /etc/sudoers                                          1 
[sudo] password for hamid: 
## sudoers file.
##
## This file MUST be edited with the 'visudo' command as root.
## Failure to use 'visudo' may result in syntax or file permission errors
## that prevent sudo from running.
##
## See the sudoers man page for the details on how to write a sudoers file.
##

##
## Host alias specification
##
## Groups of machines. These may include host names (optionally with wildcards),
## IP addresses, network numbers or netgroups.
# Host_Alias	WEBSERVERS = www1, www2, www3

##
## User alias specification
##
## Groups of users.  These may consist of user names, uids, Unix groups,
## or netgroups.
# User_Alias	ADMINS = millert, dowdy, mikef

##
## Cmnd alias specification
##
## Groups of commands.  Often used to group related commands together.
# Cmnd_Alias	PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
# 			    /usr/bin/pkill, /usr/bin/top
# Cmnd_Alias	REBOOT = /sbin/halt, /sbin/reboot, /sbin/poweroff

##
## Defaults specification
##
## You may wish to keep some of the following environment variables
## when running commands via sudo.
##
## Locale settings
# Defaults env_keep += "LANG LANGUAGE LINGUAS LC_* _XKB_CHARSET"
##
## Run X applications through sudo; HOME is used to find the
## .Xauthority file.  Note that other programs use HOME to find   
## configuration files and this may lead to privilege escalation!
# Defaults env_keep += "HOME"
##
## X11 resource path settings
# Defaults env_keep += "XAPPLRESDIR XFILESEARCHPATH XUSERFILESEARCHPATH"
##
## Desktop path settings
# Defaults env_keep += "QTDIR KDEDIR"
##
## Allow sudo-run commands to inherit the callers' ConsoleKit session
# Defaults env_keep += "XDG_SESSION_COOKIE"
##
## Uncomment to enable special input methods.  Care should be taken as
## this may allow users to subvert the command being run via sudo.
# Defaults env_keep += "XMODIFIERS GTK_IM_MODULE QT_IM_MODULE QT_IM_SWITCHER"
##
## Uncomment to use a hard-coded PATH instead of the user's to find commands
# Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
##
## Uncomment to send mail if the user does not enter the correct password.
# Defaults mail_badpass
##
## Uncomment to enable logging of a command's output, except for
## sudoreplay and reboot.  Use sudoreplay to play back logged sessions.
# Defaults log_output
# Defaults!/usr/bin/sudoreplay !log_output
# Defaults!/usr/local/bin/sudoreplay !log_output
# Defaults!REBOOT !log_output

##
## Runas alias specification
##

##
## User privilege specification
##
root ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
# %sudo	ALL=(ALL) ALL

## Uncomment to allow any user to run sudo if they know the password
## of the user they are running the command as (root by default).
# Defaults targetpw  # Ask for the password of the target user
# ALL ALL=(ALL) ALL  # WARNING: only use this together with 'Defaults targetpw'

## Read drop-in files from /etc/sudoers.d
## (the '#' here does not indicate a comment)
#includedir /etc/sudoers.d

morealaz · 2016-07-14 08:00:03

enghamid نوشته است که:

  nano 2.6.1                   File: /etc/pam.d/su                              

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
auth            sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            required        pam_unix.so
account         required        pam_unix.so
session         required        pam_unix.so

خودتون راه حل مشکل رو پیدا کردید دیگه. تو فایل etc/pam.d/su/ خط زیر رو کامنت کنید:

auth            sufficient      pam_wheel.so trust use_uid

که فایل شما در نهایت به این صورت بشه:

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            required        pam_unix.so
account         required        pam_unix.so
session         required        pam_unix.so

از خروجی فایل etc/sudoers/ شما هم اینجور به نظر میرسه که هنوز اون رو برای استفاده از sudo تنظیم نکردید برای اینکار ابتدا با su به کاربر ریشه تغییر کاربر بدید بعد دستور زیر رو اجرا کنید:

# EDITOR=nano visudo

بعد داخل فایل sudoers که باز میشه خط زیر رو از حالت کامنت خارج کنید:

# %wheel ALL=(ALL) ALL

و در نهایت فایل رو ذخیره کنید تا امکان استفاده از sudo برای کاربر شما فراهم بشه.

enghamid · 2016-07-14 15:23:51

با سپاس مشکل حل شد

FullMetalArcher · 2016-07-18 03:52:15

enghamid نوشته است که:

با سپاس مشکل حل شد

لطفا یه بار su رو اجرا کنید و چک کنید خطای نا درست بودن پسورد میگیرید یا نه؟
چون ظاهرا با کامنت کردن خط زیر این حالت پیش میاد!
auth sufficient pam_wheel.so trust use_uid

آخرین ویرایش توسط FullMetalArcher (2016-07-18 03:54:13)

morealaz · 2016-07-18 08:43:14

Риал Краесис نوشته است که:

enghamid نوشته است که:
با سپاس مشکل حل شد

لطفا یه بار su رو اجرا کنید و چک کنید خطای نا درست بودن پسورد میگیرید یا نه؟
چون ظاهرا با کامنت کردن خط زیر این حالت پیش میاد!
auth sufficient pam_wheel.so trust use_uid

این محتوای فایل etc/pam.d/su/ منه که اصلاً تا حالا دستش هم نزدم و su هم بدون مشکل برام کار میکنه:

#%PAM-1.0
auth		sufficient	pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth		sufficient	pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth		required	pam_wheel.so use_uid
auth		required	pam_unix.so
account		required	pam_unix.so
session		required	pam_unix.so

Arch Linux

اطلاعیه

#1 2016-07-04 18:58:56

اشکال در su (حل شد)

#2 2016-07-04 19:09:50

پاسخ: اشکال در su (حل شد)

#3 2016-07-04 19:27:07

پاسخ: اشکال در su (حل شد)

#4 2016-07-04 19:46:08

پاسخ: اشکال در su (حل شد)

#5 2016-07-04 19:49:42

پاسخ: اشکال در su (حل شد)

#6 2016-07-04 20:00:44

پاسخ: اشکال در su (حل شد)

#7 2016-07-04 20:07:43

پاسخ: اشکال در su (حل شد)

#8 2016-07-04 20:17:51

پاسخ: اشکال در su (حل شد)

#9 2016-07-04 20:18:00

پاسخ: اشکال در su (حل شد)

#10 2016-07-13 19:57:39

پاسخ: اشکال در su (حل شد)

#11 2016-07-13 22:40:09

پاسخ: اشکال در su (حل شد)

#12 2016-07-13 23:05:05

پاسخ: اشکال در su (حل شد)

#13 2016-07-13 23:55:16

پاسخ: اشکال در su (حل شد)

#14 2016-07-14 00:24:28

پاسخ: اشکال در su (حل شد)

#15 2016-07-14 02:28:32

پاسخ: اشکال در su (حل شد)

#16 2016-07-14 08:00:03

پاسخ: اشکال در su (حل شد)

#17 2016-07-14 15:23:51

پاسخ: اشکال در su (حل شد)

#18 2016-07-18 03:52:15

پاسخ: اشکال در su (حل شد)

#19 2016-07-18 08:43:14

پاسخ: اشکال در su (حل شد)

پانوشت انجمن