Novy uzivatel je clenem skupiny root, gpasswd tvrdi opak

[debil]

Příkaz

Kód: [Vybrat]

id developer vrací co?

Jinak mě teda ve Fedoře všechno v cajku. Co mrknout na /etc/skel, nebo kde je umístěné pravidlo, kam zařadit nového uživatele. Ve Fedoře se vytvoří stejně pojmenovaná skupina.

Diky, /etc/skel jeste zkusim..ale stejne, odebrat by jit melo!

# su -l - developer -c id
uid=1004(developer) gid=1004(developer) groups=1004(developer),0(root)
# gpasswd -d developer root
Removing user developer from group root
gpasswd: user 'developer' is not a member of 'root'
# echo $?
3   // jen err, ze uz tam neni. ale pro jistotu zkusim jeste
# gpasswd -a developer root
Adding user developer to group root
# gpasswd -d developer root
Removing user developer from group root
# echo $?
0   // uz OK
# su -l - developer -c id
uid=1004(developer) gid=1004(developer) groups=1004(developer),0(root)
// ...FUUUUU


@Martin Mlynar:
Diky, dobry napad s koliznim gid, ale taky ne!

# cat /etc/group | grep root
root:x:0:
# cat /etc/group | grep :0:
root:x:0:
# cat /etc/group | grep developer
developer:x:1004:developer
# cat /etc/passwd | grep developer
developer:x:1004:1004:,,,:/home/developer:/bin/bash


Tak jsem koukal do /etc/skel , u me je to slozka s obsahem:
-rw-r--r-- 1 root root   220 Sep 19  2012 .bash_logout
-rw-r--r-- 1 root root  3771 Jun 24  2016 .bashrc
drwxr-xr-x 1 root root    66 Aug 11 17:44 .config
-rw-r--r-- 1 root root  8980 Oct  4  2013 examples.desktop
-rw-r--r-- 1 root root 14965 Apr  9 19:28 .face
drwxr-xr-x 1 root root    10 Aug 11 17:44 .kde
-rw-r--r-- 1 root root   807 Apr  4 20:30 .profile


Zkousel jsem pridat uzivatele pres useradd, adduser, oba maji skupinu root.
Zkousel jsem updatovani skupin, pro ostatni, zda se, funguje:

# useradd tmpp
# gpasswd -a tmpp developer
Adding user tmpp to group developer
# su -l - tmpp -c id
No directory, logging in with HOME=/
uid=1005(tmpp) gid=1005(tmpp) groups=1005(tmpp),0(root)
# gpasswd -d tmpp developer
Removing user tmpp from group developer
# su -l - tmpp -c id
No directory, logging in with HOME=/
uid=1005(tmpp) gid=1005(tmpp) groups=1005(tmpp),0(root)


@ByCzech, netrolluju, ale mam problem, ktery neni uplne trivialni. Snazil ses pomoct..diky, ale asi neporozumnel problemu.

[Reklama]

[hrdina]

Nemas tam naky kerberos, nss nebo neco takovyho? Naky rootkit?

[BoneFlute]

Diky, /etc/skel jeste zkusim..ale stejne, odebrat by jit melo!
...
Tak jsem koukal do /etc/skel , u me je to slozka s obsahem:
-rw-r--r-- 1 root root   220 Sep 19  2012 .bash_logout
-rw-r--r-- 1 root root  3771 Jun 24  2016 .bashrc
drwxr-xr-x 1 root root    66 Aug 11 17:44 .config
-rw-r--r-- 1 root root  8980 Oct  4  2013 examples.desktop
-rw-r--r-- 1 root root 14965 Apr  9 19:28 .face
drwxr-xr-x 1 root root    10 Aug 11 17:44 .kde
-rw-r--r-- 1 root root   807 Apr  4 20:30 .profile

Ej, sorry, to je mimo.

Podle man stránky k useradd tak platí, že pokud není určena skupina, tak záleží na nějakém příznaku USERGROUPS_ENAB v /etc/login.defs, případně GROUP v /etc/default/useradd. (Fedora) Mrkni, zda v tom souboru nemáš GROUP=0

[debil]

Kerberos, nss nemam. je to normalni,pracovne-domaci ntb. Driv to fungovalo (starsi uzivatele).
Rootkit - taky si zacinam rikat, nebo chyba v "su"?

Uz jsem zkousel i restartovat, porad..

2 etc/skel ..jj, koukal jsem do /etc/defaits/useradd i do login.defs, user skupinu mam, ale vytvari se spravne s novym uzivatelem (viz id: je ve skupinach developer,root)

[J]

A kdyz se prihlasis bez su, tak jaky mas groupy?

[Reklama]

[black3r]

Ja teda nss mam aj na pracovnom notebooku.., pre istotu skus poslat vystupy z `getent group | grep :0`, `getent passwd | grep developer` a `cat /etc/nsswitch.conf` ?

[debil]

A kdyz se prihlasis bez su, tak jaky mas groupy?

Bingo!
Pri prihlaseni rovnou do toho uzivatele ma je skupinu 'developer'!
Podezreni je tedy na `su`, ktery nejak pribaluje rootovskou skupinu? :O

U me je /bin/su poskytovano balickem login,
login/bionic,now 1:4.5-1ubuntu1 amd64 [installed]
Overoval jsem md5sum a binarky sedi.

Muzete prosim nekdo na Debianu/Ubuntu/KDE Neon overit tuhle chybu?
Postup:
su - <no-root-user> -l -c id
Chyba: prida mu to skupinu 0(root)

Da se toho nejak zneuzit, krom toho, ze takto "prepnuty" user muze mazat rootovo soubory, ktere maji g+w ?

[debil]

jeste ls -l su

-rwsr-xr-x 1 root root 44664 led 25  2018 /bin/su

ten sticky bit mit ma, ze?

[Karel]

ma

btw to su poustis jako jaky uzivatel?

[debil]

btw to su poustis jako jaky uzivatel?

tak i tak, v obou pripadech prida roota.

[Martin Mlynář]

a co zahrabane nekde kolem /etc/pam.d/su?

[Exceptions]

podle mě bude zakopaný pes někde v /etc/pam.d, hoď sem výpis a obsah souborů.

Také je vhodné zjistit za jakých okolností tam ten root je a kdy není, tj.
- sudo
- su
- id pod rootem
- ssh login
- login do desktopu

Mohlo by pomoc zavolat ten su s strace a hodit sem výpis, aspoň uvídime, které moduly jsou aktivní a kam kluk všude šahá.

Stejně tak se může jednat o nějakou nákazu, projít výpis lsof, mrknout na /proc/modules a ověřit grup cfg.

[debil]

@Martin: do /etc/pam.d/su jsem se ted dival, nic mnou meneneho, ani nic podezreleho. Jestli mam prohlidnout cele pam.d, tak tam je toho dost (ne nutne podezrele, jen hodne souboru)

podle mě bude zakopaný pes někde v /etc/pam.d, hoď sem výpis a obsah souborů.

Také je vhodné zjistit za jakých okolností tam ten root je a kdy není, tj.
- sudo
- su
- id pod rootem
- ssh login
- login do desktopu

Mohlo by pomoc zavolat ten su s strace a hodit sem výpis, aspoň uvídime, které moduly jsou aktivní a kam kluk všude šahá.

Stejně tak se může jednat o nějakou nákazu, projít výpis lsof, mrknout na /proc/modules a ověřit grup cfg.

- sudo -u developer id  //OK (tj neni root grp)
- su - developer -c id //spatne, je.
- #id //OK root:root:root
- ssh login //nemam povoleny
- login do desktopu //OK, jak GUI (sddm), tak TTY

Rootkit - mozne to je vzdycky, ale nemel by byt extra duvod (torrenty, hry apod nepouzivam). Volal jsem krhunter a na /bin/su nic nehlasi. Stejne tak kontrola md5sum.

Strace... vypise toho strasne moc, nejaky vhodny format, jak to mam zavolat? A taky, je tam treba neco anynimizovat?
Diky za dobry postup k debugovani!

[Karel]

jeste mozna /etc/default/su

a zkusit jinou su binarku?

naky posahany kontejnery mebo namespaces tam nemas?

[debil]

jeste mozna /etc/default/su

a zkusit jinou su binarku?

naky posahany kontejnery mebo namespaces tam nemas?

Nejsem v kontejneru

login (su) jsem si zkusil skompilovat z gitu, ale nedarilo se mi slinkovat s libpam, takze su selhalo. Pak jsem nainstaloval starsi verzi z ubuntu xenial (4.2-3) a tam stejna chyba (ale jen jsem zavolal su - ..., bal jsem se restartovat, aby se neco uplne nepodelalo).
Tj., vede to, ze to neni primo v su, ale necem pod nim? (PAM?)
Jak na ten strace? bylo by zajimavy videt rozdil volani mezi tim su a sudo.