[Résolu] Commande "su" non fonctionnelle

galdinx · 17-01-2011 17:54:02

Bonjour.

Afin de limiter les droits d'accès de certains compte à la commande "su", j'ai changé les droits de la commande "su" en 750 et ai affecté la commande su au groupe "useradmins" (c'était surement pas la bonne méthode mais maintenant que c'est fait je n'arrive plus à revenir en arrière).

Le problème est que depuis que j'ai fait cette commande, lorsqu'un utilisateur du groupe "useradmins" fait la commande "su", il a bien le prompt pour le password mais celui ci est rejeté alors que le mot de passe est le bon (car si on ouvre un terminal directement en root avec ce password, cela fonctionne).

$ su
Mot de passe :
suÂ : Ãchec d'authentification

Ayant au préalable autorisé le "sudo su" je peux néanmoins passer en root mais ne peux plus exécuter la commande su sans comprendre pourquoi. J'ai donc tenté de changer le mot de passe (ce que je peux faire) mais cela ne change pas pour autant le résultat de la commande "su"

Quelqu'un saurait expliquer cela ou du moins le corriger ?

Merci par avance.

Galdinx.

Dernière modification par galdinx (18-01-2011 11:44:59)

Sak · 17-01-2011 18:24:33

Le groupe de root, ça s'appelle aussi root. Pas de trace d'un groupe useradmins sur ma Testing en tous cas.

Je comprends pas pourquoi tu dis que t'arrives plus à revenir en arrière sachant que tu as accès à un terminal root !

Au cas où, je te colle les droits d'origine de /bin/su (avec du setuid) :

-rwsr-xr-x 1 root root 34024 26 sept. 15:59 /bin/su

anonyme · 17-01-2011 19:57:19

Bonsoir,

galdinx, peux-tu nous dire quelle est ta version de Debian stp?

eol · 17-01-2011 20:12:06

Bonsoir,

en redémarrant en mode mono-utilisateur tu peux remettre les droits comme ils étaient.
( avec la commande chmod )

Sinon, par curiosité, tu voulais faire quoi en changeant les droits sur su ?
Tant que quelqu'un n'a pas le mot de passe root, il ne peut pas faire grand chose avec cette commande.

Dernière modification par eol (17-01-2011 20:13:59)

galdinx · 17-01-2011 22:30:22

Bonsoir.

@SAK
"Le groupe de root, ça s'appelle aussi root. Pas de trace d'un groupe useradmins sur ma Testing en tous cas." <-- j'ai créé le groupe useradmins et j'ai affecté le groupe useradmins sur l'executable /bin/su (chgrp useradmins /bin/su)

"Je comprends pas pourquoi tu dis que t'arrives plus à revenir en arrière sachant que tu as accès à un terminal root !" <-- je peux effectivement remettre les droits initiaux mais ca ne corrige pas le problème ; de même j'avais fait un "cp su su2" et le su2 me propose le prompt sans jamais valider le mot de passe.

@tux12 : je n'ai pas accès à la machine ce soir ; je check demain matin.

@eol : "en redémarrant en mode mono-utilisateur tu peux remettre les droits comme ils étaient. ( avec la commande chmod )" <-- ce n'est pas le problème, avec un "sudo su" je suis root et je peux changer les droits

"Sinon, par curiosité, tu voulais faire quoi en changeant les droits sur su ?
Tant que quelqu'un n'a pas le mot de passe root, il ne peut pas faire grand chose avec cette commande." <-- dans mon écosytème, les mdp circulent vite ; de cette facon, il faut plus un mais 2 mots de passe pour passer root

Merci pour votre aide.

anonyme · 17-01-2011 23:41:37

si je fais:

host:/home/tux12# ll /bin/su
-rwsr-xr-x 1 root root 27108 nov 14 2009 /bin/su

puis

host:/home/tux12# chmod 750 /bin/su
host:/home/tux12# ll /bin/su
-rwxr-x--- 1 root root 27108 nov 14 2009 /bin/su

on voit que le bit setuid à sauté.

En changeant ainsi les droits/users/groupes sur les commandes tu t'exposes à empêcher le fonctionnement normal du système. Une commande en appelle une autre sous unix, et si l'une n'a pas les bons droits, l'ensemble ne donne pas le résultat escompté. Ça impactera au final la gestion des paquets, les tâches planifiées...
Bref, en imaginant que tu arrives à faire fonctionner ce que tu as en tête, à mon avis tu t'y prends pas par le bon bout car si le mdp root circule, ceux des users circuleront aussi. Prévoir des actions de sensibilisation des dirigeantsutilisateurs?

Peut-être envisager des comptes limités dans le temps avec changement de mdp automatique?

@

laisse tomber la version, je craignais que tu sois sous Ubuntu, je ne souhaite pas mettre le souk dans un système qui n'est pas ce que je pense qu'il est.

eol · 17-01-2011 23:42:46

galdinx a écrit :

dans mon écosytème, les mdp circulent vite ; de cette facon, il faut plus un mais 2 mots de passe pour passer root.

Oui, mais si ils circulent vite, ça ne résoud pas le problème ...
Sinon, sur ma machine, par défaut il n'y a que les membres du groupe wheel qui ont accès à la commande su, mais bon ça revient un peu à ce que tu as fait.

galdinx · 18-01-2011 11:28:41

Bonjour.

Je veux bien tenter autre chose, comme le gorupe wheel ou des comptes limités ou autre mais en attendant, je souhaiterais savoir si quelqu'un peut m'aider à rétablir le service inital, à savoir faire fonctionner la commande su (vu que si je lui remets les droits d'origine, cela ne fonctionne pas mieux).

En particulier si le bit setuid a sauté, comment faire pour le remettre ?

Merci par avance.

PS : si jamais ca peut quand même servir :
$ cat /etc/debian_version
5.0.6

Edit : chmod u+s /bin/su a résolu mon problème ; merci a tous

Dernière modification par galdinx (18-01-2011 11:38:12)

smolski · 18-01-2011 11:42:16

Résolu galdinx ?

Voir là :
http://debian-facile.org/atelier:resolu

Mouaaaaaaaah !

Debian-facile

#1 17-01-2011 17:54:02

[Résolu] Commande "su" non fonctionnelle

#2 17-01-2011 18:24:33

Re : [Résolu] Commande "su" non fonctionnelle

#3 17-01-2011 19:57:19

Re : [Résolu] Commande "su" non fonctionnelle

#4 17-01-2011 20:12:06

Re : [Résolu] Commande "su" non fonctionnelle

#5 17-01-2011 22:30:22

Re : [Résolu] Commande "su" non fonctionnelle

#6 17-01-2011 23:41:37

Re : [Résolu] Commande "su" non fonctionnelle

#7 17-01-2011 23:42:46

Re : [Résolu] Commande "su" non fonctionnelle

#8 18-01-2011 11:28:41

Re : [Résolu] Commande "su" non fonctionnelle

#9 18-01-2011 11:42:16

Re : [Résolu] Commande "su" non fonctionnelle

Pied de page des forums