su, help!

Vragen over en antwoorden op problemen met je desktop
Plaats reactie
Gebruikersavatar
vi coactus
Berichten: 228
Lid geworden op: zo jan 19, 2020 12:02 pm

su, help!

Bericht door vi coactus »

Help, wat heb ik ooit gedaan, dat ik nu su kan uitvoeren en root worden zónder wachtwoord.
su, su- en sudo hebben geen wachtwoord nodig.
Wat sudo betreft heb ik enkel

Code: Selecteer alles

robert  ALL=(ALL:ALL) ALL
in /etc/sudoers toegevoegd.
iswrong
Berichten: 104
Lid geworden op: ma feb 10, 2020 9:16 am

Re: su, help!

Bericht door iswrong »

Hoe ziet je PAM configuratie er uit? Heb je toevallig een `auth sufficient` regel waarbij het voldoende is om een bepaalde gebruiker/groep te zijn?

Zie

Code: Selecteer alles

/etc/pam.d
Gebruikersavatar
vi coactus
Berichten: 228
Lid geworden op: zo jan 19, 2020 12:02 pm

Re: su, help!

Bericht door vi coactus »

Volgens mij zijn we warm ja, ik denk dat het gebeurd is na het installeren van fscrypt.
In su staat:

Code: Selecteer alles

auth       sufficient pam_rootok.so
Maar dat lijkt me normaal?
iswrong
Berichten: 104
Lid geworden op: ma feb 10, 2020 9:16 am

Re: su, help!

Bericht door iswrong »

robert schreef: vr jun 12, 2020 12:28 am Volgens mij zijn we warm ja, ik denk dat het gebeurd is na het installeren van fscrypt.
In su staat:

Code: Selecteer alles

auth       sufficient pam_rootok.so
Maar dat lijkt me normaal?
Ja, dat zegt volgens mij dat je sudo zonder verdere commotie uit kunt voeren als je UID 0 is. Iets anders verdachts? Sommige distributies includeren ook andere bestanden uit pam.d vanout de su en sudo bestanden.
Gebruikersavatar
vi coactus
Berichten: 228
Lid geworden op: zo jan 19, 2020 12:02 pm

Re: su, help!

Bericht door vi coactus »

Code: Selecteer alles

-rw-r--r-- 1 root root 1174 May 31 16:19 common-account
-rw-r--r-- 1 root root 1226 May 31 16:19 common-auth
-rw-r--r-- 1 root root 1448 May 31 16:19 common-password
-rw-r--r-- 1 root root 1229 May 31 16:19 common-session
-rw-r--r-- 1 root root 1169 May 31 16:19 common-session-noninteractive
Ik weet niet precies sinds wanneer ik het heb, maar het zal wel die dag zijn. Dat zijn de enige bestanden met changetime die recent is, volgens 'stat'.
In common-account:

Code: Selecteer alles

# here are the per-package modules (the "Primary" block)
account [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
account requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

In common-auth:

Code: Selecteer alles

# here are the per-package modules (the "Primary" block)
auth    [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional        pam_fscrypt.so
# end of pam-auth-update config
In common-password:

Code: Selecteer alles

# here are the per-package modules (the "Primary" block)
password        [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
password        optional        pam_fscrypt.so
# end of pam-auth-update config
In common-session:

Code: Selecteer alles

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
session optional        pam_keyinit.so force revoke
session optional        pam_fscrypt.so drop_caches lock_policies
# end of pam-auth-update config
En in common-session-noninteractive:

Code: Selecteer alles

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
session optional        pam_keyinit.so force revoke
# end of pam-auth-update config

Ik heb geen flauw idee wat het allemaal wil zeggen, maar denk toch dat het door fscrypt komt?
Is alles nu unlocked omdat dat ding gemount is misschien?
iswrong
Berichten: 104
Lid geworden op: ma feb 10, 2020 9:16 am

Re: su, help!

Bericht door iswrong »

Lijkt allemaal redelijk denk ik. Heeft de installatie van die PAM module toevallig ook backup files achtergelaten zodat je de verschillen kunt diff-en?

Uit interesse: deel je toevallig de computer? Zoniet, waarom geen full-disk encryption?
Gebruikersavatar
vi coactus
Berichten: 228
Lid geworden op: zo jan 19, 2020 12:02 pm

Re: su, help!

Bericht door vi coactus »

iswrong schreef: di jun 16, 2020 8:24 am Lijkt allemaal redelijk denk ik. Heeft de installatie van die PAM module toevallig ook backup files achtergelaten zodat je de verschillen kunt diff-en?

Uit interesse: deel je toevallig de computer? Zoniet, waarom geen full-disk encryption?
Ik zie in /etc/pam.d niets wat op backup lijkt, of staat dat ergens anders?
Ik deel de computer niet. Nou omdat dit gewoon een experiment was. Ik wilde andere encryptie die ik ook op andere pc heb, maar ben vergeten hoe die heet. Daar was gewoon de hele partitie encrypted. Nu heb je gewoon als je hem mount zonder te decrypten een zooitje files staan.
Opzich is het sowieso niet heel wat voor mij, want moet altijd opzoeken hoe ik de boel weer mount/ontsleutel. :')
Maar is toch handig om een encrypted plek te hebben. Die hoeft ook niet altijd gemount te zijn. Ik wil namelijk sowieso nog een soort aut-ounmount maken. Anders blijft de data toegankelijk zolang de pc aanstaat. En mijn gewone wachtwoord is wat "eenvoudiger" dan die van encrypted fs. En om dat wachtwoord nou op m'n pc te gebruiken word ik ook niet blij mee, ben ik een minuut bezig elke keer met unlocken :P
iswrong
Berichten: 104
Lid geworden op: ma feb 10, 2020 9:16 am

Re: su, help!

Bericht door iswrong »

robert schreef: di jun 16, 2020 7:08 pm Ik zie in /etc/pam.d niets wat op backup lijkt, of staat dat ergens anders?
Volgens mij zou het daar moeten staan. Maar Debian is alweer een tijdje geleden. Waarschijnlijk kun je de onveranderde files wel uit de Debian package peuteren. Maar zoals gezegd, ik gebruik al heel erg lang geen Debian-gebaseerde distro meer.
Ik wilde andere encryptie die ik ook op andere pc heb, maar ben vergeten hoe die heet.
LUKS met cryptsetup?
Maar is toch handig om een encrypted plek te hebben. Die hoeft ook niet altijd gemount te zijn.
Ik encrypt gewoon de hele harde schijf (storage pool). Tik je het wachtwoord bij het opstarten in en dat was het.
Anders blijft de data toegankelijk zolang de pc aanstaat.
Ja, dat is een dingetje... Dat werkt met een oplossing die via PAM gaat waarschijnlijk beter. Hangt natuurlijk van je 'threat analysis' af. Mijn grootste zorg is dat iemand je hele computer jat. Dan is full disk encryption een redelijk goede oplossing.
Gebruikersavatar
vi coactus
Berichten: 228
Lid geworden op: zo jan 19, 2020 12:02 pm

Re: su, help!

Bericht door vi coactus »

iswrong schreef: za jun 20, 2020 11:26 am
Volgens mij zou het daar moeten staan. Maar Debian is alweer een tijdje geleden. Waarschijnlijk kun je de onveranderde files wel uit de Debian package peuteren. Maar zoals gezegd, ik gebruik al heel erg lang geen Debian-gebaseerde distro meer.
Maar zonder die aanpassingen werkt dat fscrypt waarschijnlijk niet meer
LUKS met cryptsetup?
Ja die inderdaad :)
Ja, dat is een dingetje... Dat werkt met een oplossing die via PAM gaat waarschijnlijk beter. Hangt natuurlijk van je 'threat analysis' af. Mijn grootste zorg is dat iemand je hele computer jat. Dan is full disk encryption een redelijk goede oplossing.
Nou als ze mijn computer jatten mogen ze best mijn pornoverzameling hebben :mrgreen: , maar niet mijn privé dingen.
Sowieso ga ik ook niet wéér mijn pc opnieuw installeren. Elke keer dat ik dat doe lijkt het crappyer te werken. Zoals a-v sync, loopt vaak niet goed. En b-ray afspelen via het netwerk ook niet, maar waar dat aan ligt weet ik niet.
Maar had dus gewoon LUKS met cryptsetup willen hebben, ik vond het alleen niet zo snel op inet, maar kwam wel dit tegen.

Weet jij wat robuuster is bij datacorruptie? Bij fscrypt zie je allemaal bestanden als hij niet geunlocked is, dus zou je denken van als er eentje van beschadigd is dan kun je sowieso wel bij de rest.
Gebruikersavatar
vi coactus
Berichten: 228
Lid geworden op: zo jan 19, 2020 12:02 pm

Re: su, help!

Bericht door vi coactus »

iswrong schreef: za jun 20, 2020 11:26 am ...
Even een update. Ik deed iets (updaten misschien) en toen kreeg ik die standaardvragen bij nieuwe config. Ik heb dat fscrypt uitgeschakeld. Su(do) werkt nu weer normaal en kan ook gewoon dat fs mounten.
Ik denk dat die toevoeging in PAM zó werkte dat als je "ingelogd" bent dmv een fscrypt punt mounten je permanent root-rechten hebt, dus zeg maar gewoon als root-sleutel.
Plaats reactie