Господа админы подмогните.Система Alt linux 2.4
Нужно чтобы при логине определенного юзера выполнялась команда или скрипт, вместо /bin/bash.
Всегда выдает prmission denied.
a SSH жалуется на взлом :)Подскажите где копать.
в группу wheel вносил все тоже самое.
Права на файл давал полные.
а в консоли когда логиниш что пишет ?
>а в консоли когда логиниш что пишет ?
если /bin/bash stoit v passwd все окей проходит
чез путти выкидывает
с консоли Login Incorrect
Короче:
надо сделать хальт серва при логине этого юзера. Плиз подскажите.
добавь свою програмку в /etc/shells, и suid bit на програмку (я так понимаю это bash скрипт), потому как halt, restart - привелигированные операции, ну и измени сшел юзеру на имя програмки (#chsh -s /usr/local/myprog.sh user)
У меня аналогичная задача. Мой логин-скрипт при входе по ssh выполняться, но мне надо из него запускать задачи через sudo. А он ругается
sudo: sorry, you must have a tty to run sudo.
Подскажите, как открыть терминал. open и openvt требуют права рута, т.е. через sudo :)
Типичная задача про яицо и курицу.
Может есть более красивые и готовые решения (а то мне кажется что я изобретаю велосипед)? Вообщето мне надо что бы этот юзер не имел доступа к консоли и выполнял строго определенный набор команд, через sudo.
>добавь свою програмку в /etc/shells, и suid bit на програмку (я так
>понимаю это bash скрипт), потому как halt, restart - привелигированные операции,
>ну и измени сшел юзеру на имя програмки (#chsh -s /usr/local/myprog.sh
>user)
Все сделал.
Выполняю команду
D:\21>plink.exe haltt@server -pw pass
Using username "haltt".
Last login: Tue Feb 13 09:39:07 2007 from 192.168.1.13
consolehelper: Authentication failureЛоги
Feb 13 09:39:04 touch sshd[3890]: Address 192.168.1.13 maps to compik, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Feb 13 09:39:04 touch pam_tcb[3890]: sshd: Authentication failed for haltt from (uid=0)Чез путти:
Feb 13 09:39:07 touch pam_tcb[3890]: sshd: Authentication passed for haltt from (uid=0)
Feb 13 09:39:07 touch sshd[3891]: Accepted password for haltt from 192.168.1.13 port 2224 ssh2
Feb 13 09:39:07 touch pam_tcb[3898]: sshd: Session opened for haltt by (uid=505)
Feb 13 09:39:08 touch consolehelper[3901]: pam_authenticate failed: Authentication failure
Feb 13 09:51:37 touch pam_tcb[4036]: sshd: Session closed for halttМож SSH такой умный?
halt.sh находится в /usr/local/sbin
l halt.sh:
-rwsr-sr-x 1 root root 18 Фев 13 08:57 halt.sh
проблема в том что sshd в данном случае пытается разрезолвить имя хоста с которого логинится юзер haltt, поставь в sshd_config "UseDNS no".
>проблема в том что sshd в данном случае пытается разрезолвить имя хоста
>с которого логинится юзер haltt, поставь в sshd_config "UseDNS no".
Сделал.Все равно осталось:
Feb 13 10:36:19 touch pam_tcb[4395]: sshd: Authentication failed for haltt from (uid=0)
Feb 13 10:36:19 touch pam_tcb[4395]: sshd: Authentication passed for haltt from (uid=0)
Feb 13 10:36:19 touch sshd[4396]: Accepted password for haltt from 192.168.1.13 port 3315 ssh2
Feb 13 10:36:19 touch pam_tcb[4402]: sshd: Session opened for haltt by (uid=505)
Feb 13 10:36:19 touch consolehelper[4405]: pam_authenticate failed: Authentication failure
Feb 13 10:36:19 touch pam_tcb[4402]: sshd: Session closed for haltt
какие pam модули установлены для sshd = cat /etc/pam.d/sshd
>какие pam модули установлены для sshd = cat /etc/pam.d/sshd
cat sshd
#%PAM-1.0
auth required pam_userpass.so
auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok nodelay blank_nolog use_first_pass
auth required pam_nologin.so
account include system-auth
password include system-auth
session include system-auth
чёто фигня какая-то
поменяй сшел на баш, залогинься и запусти программу
>чёто фигня какая-то
>поменяй сшел на баш, залогинься и запусти программу
Поменял в скрипте #!/bin/bash
щас:
Feb 13 13:04:04 touch pam_tcb[5656]: sshd: Authentication failed for haltt from (uid=0)
Feb 13 13:04:05 touch pam_tcb[5656]: sshd: Authentication passed for haltt from (uid=0)
Feb 13 13:04:05 touch sshd[5657]: Accepted password for haltt from 192.168.1.13 port 1768 ssh2
Feb 13 13:04:05 touch pam_tcb[5663]: sshd: Session opened for haltt by (uid=505)
Feb 13 13:04:05 touch consolehelper[5666]: appconf: /etc/security/console.apps/shutdown: missing program: /sbin/shutdown
Feb 13 13:04:05 touch pam_tcb[5663]: sshd: Session closed for haltt
cat /etc/security/console.apps/shutdown
USER=root
PROGRAM=/sbin/shutdown
SESSION=false
FALLBACK=falseГде то тут мож копать?
ты сшел поменяй на баш (см. выше) , а не интерпретатор скрипта. И ls -la [полный путь до твоего скрипта]. Посмотри какие права, потом юзером залогинься и попробуй выполнить твой скрипт.
>ты сшел поменяй на баш (см. выше) , а не интерпретатор скрипта.
>И ls -la [полный путь до твоего скрипта]. Посмотри какие права,
>потом юзером залогинься и попробуй выполнить твой скрипт.
зашел в баш, выполняю:/usr/local/sbin/haltt.sh
В логах:
Feb 14 09:05:07 touch consolehelper[14210]: appconf: /etc/security/console.apps/shutdown: missing program: /sbin/shutdown
ну и попробуй запустить /sbin/shutdown -- там такая вообще есть?
>ну и попробуй запустить /sbin/shutdown -- там такая вообще есть?конечно есть но права
/sbin/shutdown
-bash: /sbin/shutdown: Permission denied
Сделал chmod 755, было 700:
/sbin/shutdown
shutdown: operation not permitted.
cat /usr/local/sbin/haltt.sh
#!/bin/bash
/sbin/shutdown -r nowcat /etc/pam.d/shutdown
#%PAM-1.0
auth sufficient pam_rootok.so
#auth sufficient pam_console.so
auth required pam_console.so
#auth required pam_deny.so
account required pam_permit.so
#password required pam_deny.so
поставь SUID бит на свой скрипт и будет тебя счастье -- там сверху я об этом уже писал
>поставь SUID бит на свой скрипт и будет тебя счастье -- там
>сверху я об этом уже писал
l haltt.sh
-rwsr-sr-x 1 nobody nobody 46 Фев 14 13:37 haltt.shБесполезно :Operation not permitted
>-rwsr-sr-x 1 nobody nobody 46 Фев 14 13:37 haltt.sh
^^^^^^^^^^^^^
ну так она и запускается от юзера nobody -- а надо от рута.
>>-rwsr-sr-x 1 nobody nobody 46 Фев 14 13:37 haltt.sh
>
> ^^^^^^^^^^^^^
>ну так она и запускается от юзера nobody -- а надо от
>рута.
Да конечно юзер РУТ, просто сама команда shutdown нот пермиттед.
учиться учиться и ещё раз учиться, как завещал...
юзер стоит (владелец)nobody, и соответственно с SUID битом скрипт и запускается от nobody
>учиться учиться и ещё раз учиться, как завещал...
>юзер стоит (владелец)nobody, и соответственно с SUID битом скрипт и запускается от
>nobodyКонечно рут все равно оператион нот пермит
>>учиться учиться и ещё раз учиться, как завещал...
>>юзер стоит (владелец)nobody, и соответственно с SUID битом скрипт и запускается от
>>nobody
>
>Конечно рут все равно оператион нот пермитв скрипте поставил команду: sudo halt
все эта проблема решена. но сейчас судо просит ввести пароль
Как сделать чтобы не просила?
Как бы обойти это? есть идеи?