Re: [debian] Re: APT-GET Permission non-accordée (alors que je suis root)

[antoine]

Le mercredi 11 février 2009 15:37, Patrice YEE CHONG TCHI KAN a écrit :
> J'ai testé la manipulation,
> C'est OK.
> J'ai pu installer ncftp via apt-get à nouveau.
> Il me semble que la config est stable à nouveau.
-

Tant mieux,

mais comment expliquer cette variation de droit sur un exécutable ?

J'ai eu un problème un peu similaire avec la commande "/bin/su".
Il fallait remettre le setuid => rws (et non rwx).

antoine

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: APT-GET Permission non-accordée (alors que je suis root)

[François Cerbelle]

Patrice YEE CHONG TCHI KAN a écrit :

J'ai testé la manipulation,
C'est OK.
J'ai pu installer ncftp via apt-get à nouveau.
Merci pour toute votre aide,
Vous êtes des AS ! ... avec un seul "S" :D
Il me semble que la config est stable à nouveau.



Il n'y a pas de raison, par défaut, le bit i (immutable) n'est pas 
activé sur les fichiers et répertoire, lors d'une installation. C'est 
normal car c'est une extension des systemes de fichiers ext[234]. Ce bit 
rend un fichier complètement impossible à modifier, même pour root.


En général, il n'est utilisé que lors d'une sécurisation 
particulièrement poussée d'un serveur, pour éviter qu'une execution de 
code malicieux puisse modifier des fichiers vitaux directement. Ca ne 
fait que repousser le problème d'un niveau, mais c'est une sécurité de plus.


Il est souvent utilisé en complément à 
tripwire/snort/portsentry/logcheck quand la machine est particulièrement 
sensible. Il peut aussi être détourné pour aider à déterminer les 
fichiers pour lesquels un accès en ecriture est indispensable à certains 
programmes au démarrage (en les faisant planter) pour ensuite monter 
tout le système de fichiers en lecture seule (sur une mémoire FLASH, par 
exemple) en conservant uniquement ces fichiers sur un support en 
lecture/ecriture.


Je pense que tu as certainement voulu appliquer un HOWTO de sécurité 
trouvé sur le net à ton serveur pour le renforcer face aux attaques et 
que tu as oublié une des 234 étapes que tu as effectuées. ;-)


Par contre, quand on oublie qu'on a verrouillé des fichiers, ca peut 
poser des problèmes par la suite ! ;-)


A+

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: APT-GET Permission non-accordée (alors que je suis root)

[François Cerbelle]

Patrice YEE CHONG TCHI KAN a écrit :

Bonjour à nouveau,

Voici aprés redémarrage ce que me renvoie dmesg :

Y voyez vous quelquechose. En dernier recours, il ne me reste plus qu'a 
ré-installer toute la machine.





Peux tu regarder les attributs cachés :

lsattr /usr
lsattr /usr/bin

Je soupconne un "chattr +i /usr/bin"

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: APT-GET Permission non-accordée (alors que je suis root)

[Guy Roussin]

Bonjour,

Quelles sont les dernières lignes de la commande dmesg ?
$ dmesg | tail
Histoire de voir que le système de fichier ou le DD ne sont pas HS

Guy


Patrice YEE CHONG TCHI KAN a écrit :

HPU1HD08:/var/www/www.kabardock.fr#  df -h
Sys. de fich. Tail. Occ. Disp. %Occ. Monté sur
/dev/sda1  71G   16G   52G  24% /
tmpfs 507M 0  507M   0% /lib/init/rw
udev   10M   52K   10M   1% /dev
tmpfs 507M 0  507M   0% /dev/shm

Qu'est que ça veut dire "remount-ro" dans "/dev/sda1 on / type ext3 
(rw,errors=remount-ro)" ?

Le 29 janvier 2009 12:28, steve  a écrit :

Le 29-01-2009, à 12:03:25 +0400, Patrice YEE CHONG TCHI KAN
(patr...@network.re ) a écrit :

> Désolé le tableau est en HTML.
>
> J'ai aussi un accés SSH, j'ai tapé "mount" :
>
> HPU1HD08:/var/www/www.kabardock.fr#  mount
> /dev/sda1 on / type ext3 (rw,errors=remount-ro)
> tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
> proc on /proc type proc (rw,noexec,nosuid,nodev)
> sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
> procbususb on /proc/bus/usb type usbfs (rw)
> udev on /dev type tmpfs (rw,mode=0755)
> tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
> devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)

Il n'y a qu'une partition / ? Pas de partition spéciale pour /usr et
/home par exemple ?

Que donne

df -h



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: APT-GET Permission non-accordée (alors que je suis root)

[Romaric DEFAUX]

Salut Patrice !

Si tu fait un strace sur ton apt-get, tu devrais pouvoir voir où ça 
coince (problème de FS ou autre).

De mémoire, la commande s'écrit ainsi :
strace -o sortie.log apt-get install ton_paquet
(mais fait quand même un pti "man strace")

Va directement voir à la fin du fichier sortie.log.

Si tu ne comprends pas tout, mail nous les 50 dernières lignes de ce 
fichier, ça devrait être suffisant pour voir le problème.


Cordialement

Romaric

steve a écrit :

Le 29-01-2009, à 15:21:26 +0400, Patrice YEE CHONG TCHI KAN 
(patr...@network.re) a écrit :

  

HPU1HD08:/var/www/www.kabardock.fr# df -h
Sys. de fich. Tail. Occ. Disp. %Occ. Monté sur
/dev/sda1  71G   16G   52G  24% /



donc elle n'est pas pleine. C'est déjà ça.

Remarque : pas besoin d'être en root pour ce genre de commandes (df,
mount, etc..).

  

tmpfs 507M 0  507M   0% /lib/init/rw
udev   10M   52K   10M   1% /dev
tmpfs 507M 0  507M   0% /dev/shm

Qu'est que ça veut dire "remount-ro" dans "/dev/sda1 on / type ext3
(rw,errors=remount-ro)" ?



Cela veut dire que s'il y a un problème avec le FS, le système va
le remonter en mode ro, c'est à dire read only (lecture seule).
Peut-être est-ce arrivé chez toi. Tu devrais peut-être redémarré le
système et ensuite aller voir dans /var/log les fichiers modifiés au
démarrage (syslog, dmesg, etc...) (fais un ls -lrt dedans, les dernières
lignes sont les fichiers modifiés en derniers).

Peux-tu installer d'autres programmes avec aptitude ou c'est seulement
[me rappelle plus du nom] qui foire ?

As-tu fait un 


aptitude update
aptitude safe-upgrade

avant ? Si oui pas de message d'erreur ?

Je ne sais pas trop où regarder pour ton problème, désolé.

  


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: APT-GET Permission non- accordée (alors que je suis root)

[Charles Plessy]

Le Thu, Jan 29, 2009 at 11:12:56AM +0400, Patrice YEE CHONG TCHI KAN a écrit :
>Bonjour Charles,
>Il ne me semble pas que /usr soit en lecture seule. Voici le tableau
>Webmin :
> 
>Monté sur Type Périphérique En cours d'utilisation ? Permanent ?
>/proc Kernel Filesystem (proc) proc [1]Oui Oui
>[2]/ (Root filesystem) Linux Native Filesystem (ext3) SCSI périphérique
>A partition 1 [3]Oui Oui
>[4]Mémoire virtuelle Virtual Memory (swap) SCSI périphérique A
>partition 5 [5]Oui Oui
>/media/cdrom0 UDF,ISO9660 IDE périphérique A [6]Non Oui
>/media/floppy0 Type inconnu Lecteur de disquette 0 [7]Non Oui
>[8]/lib/init/rw RAM Disk (tmpfs) tmpfs [9]Oui Non
>/sys SYSFS sysfs [10]Oui Non
>/proc/bus/usb USBFS procbususb [11]Oui Non
>[12]/dev RAM Disk (tmpfs) udev [13]Oui Non
>[14]/dev/shm RAM Disk (tmpfs) tmpfs [15]Oui Non
>/dev/pts PTS Filesystem (devpts) devpts [16]Oui Non

Difficile à voir ci-dessus, mais il me semble que les options de montages ne
sont pas affichées. Il me semble que dans webmin on peut entrer des commandes
manuellement. Quel est le résultat affichée par « mount » ?

Bonne chance,

-- 
Charles Plessy
Tsurumi, Kanagawa, Japan

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: APT-GET Permission non- accordée (alors que je suis root)

[Charles Plessy]

Le Thu, Jan 29, 2009 at 10:48:06AM +0400, Patrice YEE CHONG TCHI KAN a écrit :
>/var/cache/apt/archives/ncftp_2%3a3.2.0-1_i386.deb (--unpack) :
> impossible de créer « ./usr/bin/ncftpget »: Permission non accordée

Bonjour,

et si /usr était monté en lecture seule ?

Amicalement,

-- 
Charles Plessy
Tsurumi, Kanagawa, Japan

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org