merci Marc, mon blem r�solu, je me suis fait hacker propre en ordre...
Vincent Munari
Project Manager
---------------------------------------
MessageMedia Europe
e-mail � e-customers � e-business
www.messagemedia.com
Email : [EMAIL PROTECTED]
Phone : +41 (0)22 354 00 25
Mobile : +41 (0)79 504 700
---------------------------------------
-----Message d'origine-----
De : [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED]]De la part de Marc SCHAEFER
Envoy� : mercredi 4 octobre 2000 11:46
� : [EMAIL PROTECTED]
Objet : Re: Urgent, Gros blem - arrive plus � me logger sur ma RH 6.2
> J'ai une RH 6.2 kernel 2.2.14-5.0 qui tourne sur un vieux 486 sx 20MB et
> tout d'un coup, je n'arrive plus � me logger dessus, que ce soit en telnet
> (je suis aux US now) ou en direct (et m�me en root, quelqu'un a essay� sur
> place). Par contre, j'arrive � y acc�der par ftp avec n'importe quel user.
> Quelqu'un a une id�e???
Il est impossible de diagnostiquer un probl�me pr�cis�ment avec si peu
d'informations, de plus je vais me borner � des g�n�ralit�s qui ne
pourront pas �tre utiles dans le cas pr�sent, mais:
- quelqu'un a peut-�tre modifi� la configuration, n'autorisant l'acc�s
root qu'en local.
Tester avec:
- login root sur la console
- login normal, puis su -
Ensuite:
man securetty login
whereis login.defs
- a voir on ne peut se connecter comme un utilisateur normal avec
telnet. La diff�rence entre telnet et ftp c'est notamment que
telnet a besoin d'un pty, d'un enregistrement utmp et de lancer
/bin/login.
Pistes suivantes:
- le disque est peut-�tre plein, et donc l'entr�e utmp ne
peut plus �tre cr��e
- les disques ont �t� remont�s read-only suite � une erreur
disque (cf la sortie de la commande mount et le fichier
/etc/fstab; exemple:
/dev/hda3 on / type ext2
(rw,noatime,nocheck,errors=remount-ro
,nocheck)
) et donc login ne peut plus changer les permissions du pty
consid�r�, ni �crire dans utmp (en particulier les fs / et
/var, si /var n'est pas dans /)
Il peut donc �tre conseill� de tourner un daemon toutes les N
minutes qui informe si un fs devient plein en blocks ou en inode;
en particulier aujourd'hui avec les passerelles gratuites SMS cela
devient un `must'. Si cela vous int�resse je peux poster mes
scripts de monitoring des disques et ceux de monitoring de ceux de
mgetty/vgetty.
- il se peut bien s�r que la machine ait �t� pirat�e, en particulier si
des services non n�cessaires tournent dessus (netstat -an | grep
LISTEN;
netstat -an | grep udp; ps auxw | more), ou que les services
essentiels n'ont pas �t� mis � un niveau de s�curit� suffisant
(update � la derni�re version, limitation des possibilit�s au strict
minimum n�cessaire)
Mon conseil: pr�voir une disquette de rescuing, qui doit simplement �tre
ins�r�e et qui permet le login par modem (ou par r�seau) sur cette machine
bien sp�cifique en n'utilisant que les services de la disquette, avec un
mot de passe sp�cial. Mettre une �tiquette rouge dessus, ainsi que le nom
ou l'adresse IP de la machine consid�r�e, et informer le personnel non
technique de son existence. Depuis cette disquette on doit pouvoir
ex�cuter une copie disquette de fdisk, mke2fs, badblocks, mkswap, df, rm,
ls, df, lilo (encore que certaines de ces commandes peuvent �tre utilis�es
depuis / disque si les libc sont compatibles ou que les binaires sont
compil�s statiquement, cf commande file).
> De plus, quelles seraient mes possibilit�s � travers ftp de pouvoir fixer
> �a?
En g�n�ral l'acc�s root sous l'utilisateur FTP n'est pas autoris�, man
ftpusers.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
