Su komutuyla root olarak giriş yapamıyorum, ancak SSH ile giriş yapabiliyorum

Kök olarak su rootveya su(yanlış şifre hatası alıyorum) olarak giriş yapamıyorum , ancak aynı şifre ile ssh root@localhostveya ssh root@my_local_IPaynı şifre ile giriş yapabilir miyim ?

CentOS 6.4 kullanıyorum.

Güncelleme1 :

cat /etc/pam.d/su

verir:

#%PAM-1.0
auth        sufficient  pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient  pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required    pam_wheel.so use_uid
auth        include     system-auth
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     optional    pam_xauth.so

Güncelleme2 :

$ sudo grep su /var/log/secure | grep -v sudo

verir:

Feb 23 13:12:17 fallah su: pam_unix(su:auth): authentication failure;
logname=fallah uid=501 euid=501 tty=pts/0 ruser=fallah rhost=  user=root

yaklaşık 20 kez tekrarlanır.

Yorumunuzda /bin/su, aşağıdaki mod / sahip olduğunu söylediniz :

-rwxrwxrwx. 1 root root 30092 Jun 22 2012 /bin/su

Burada iki problem mevcut.

• set-uid bit'inin açık olması gerekir, böylece her zaman kök izinleriyle çalışır, aksi takdirde sıradan (root olmayan) bir kullanıcı çalıştırdığında, parola bilgisine erişemez /etc/shadowve userid istenilen yeni kullanıcıya.

• o sahip olmak gerektiğini groupve otheryazma bit diğer kullanıcıların gerçeği değiştirmeme sebep olamaz böylece, kapalı.

Bunu düzeltmek için şu şekilde giriş yapın root- bunu yapabileceğinizi söylediniz ssh- ve yazın

chmod 4755 /bin/su

Veya alternatif olarak,

chmod u+s,g-w,o-w /bin/su

( Chmod için standartlar belgesi, ne tür argümanlar aldığını daha ayrıntılı olarak ele alır.) Bu, mod bitlerini işletim sistemi ilk kurulduğunda olduğu gibi geri yükler. Bu dosyayı listelediğinizde, şöyle görünmelidir:

-rwsr-xr-x. 1 root root 30092 Jun 22 2012 /bin/su

@ G-Man'ın belirttiği gibi, 777 modu olan dosyaların üzerine güvenilmeyen kullanıcılar tarafından yazılabilir ve bu durumda dağıtım ortamından veya yedeklemelerinden yeniden yüklemek isteyebilirsiniz.

1. tekerlek grubu?

Bunun nedeni, kullanım kılavuzunuzun wheelgrupta olmamasıdır . Red Hat dağıtımlarında, bu grupta olmayan kullanıcıların sukomutu çalıştırmasına açıkça izin veremezsiniz .

İşte ne suPAM yapılandırma varsayılan olarak şöyle görünür:

$ more /etc/pam.d/su
#%PAM-1.0
auth        sufficient  pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient  pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required    pam_wheel.so use_uid
auth        include     system-auth
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     optional    pam_xauth.so

Bu satır, sukomuta erişimi wheelgruptaki kullanıcılarla sınırlayabilir :

auth        required    pam_wheel.so use_uid

Bu sesden etkinleştirilir ve kullanıcı kimliğinizin sukomutu kullanmasına izin verilmez .

SSH, farklı bir PAM mekanizmasından geçtiği için çalışır. SSH'nin ayrıca kök oturumlarına erişimi sınırlamak için kendi tesisleri de vardır. Kök oturumlarına genellikle varsayılan olarak, en azından Red Hat dağıtımlarının çoğunda izin verilir:

$ sudo grep PermitRoot /etc/ssh/sshd_config 
#PermitRootLogin yes
# the setting of "PermitRootLogin without-password".

Yukarıdakiler yorumlanmış olsa bile, bu varsayılan değerdir ve OpenSSH'nin yapılandırmalarda varsayılan ayarını nasıl gösterdiğini gösterir.

Sisteminiz bu şekilde yapılandırıldıysa, kullanıcı adınızı wheelgruba ekleyebilirsiniz .

$ useradd -G wheel saml

Oturumu kapatıp tekrar açtıktan sonra:

$ groups
saml wheel

NOT: Kullanıcı kimliğim yukarıdaki "saml".

2. su üzerinde izinler doğru mu?

Yürütülebilir dosyanın kök sahibi olup olmadığını kontrol edin.

$ type -a su
su is /usr/bin/su
su is /bin/su

$ ls -l /usr/bin/su /bin/su
-rwsr-xr-x. 1 root root 32064 Jan 13 06:31 /bin/su
-rwsr-xr-x. 1 root root 32064 Jan 13 06:31 /usr/bin/su

Ayrıca yürütülebilir dosyaların sbitlerinin etkin olduğunu doğrulayın . Bu onları setuid yapar, böylece yürütüldüklerinde kendi kökleri olarak çalışırlar.

3. Günlükler ne diyor?

Tek yapmanız çalıştığınızda su -komutu içeri girdiler görmelisiniz /var/log/securegirişimi ile ilgili.

$ sudo grep su /var/log/secure | grep -v sudo
Feb 23 23:31:26 greeneggs su: pam_unix(su-l:session): session opened for user root by saml(uid=0)
Feb 24 00:27:32 greeneggs su: pam_unix(su-l:session): session closed for user root
Feb 24 01:34:12 greeneggs su: pam_unix(su-l:session): session opened for user root by saml(uid=1000)
Feb 24 01:34:26 greeneggs su: pam_unix(su-l:session): session closed for user root

Başka bilgi alıp almadığınızı görmek için bu günlüğe bakın.

4. Parolanın sorun olmadığından emin misiniz?

Kullanarak giriş yapmaya çalıştığımda, su -yanlış bir şifre verdiğimde aşağıdakileri alıyorum:

$ su -
Password: 
su: Authentication failure
$

Başka bir hesap oluşturmayı ve bu ikincil hesabın su -başarılı bir şekilde çalışıp çalışmadığını görmeyi denerdim .

Böyle bir hata mesajı alıyorsanız

su: PAM adding faulty module: /lib64/security/pam_tally.so
su: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory

Bu adımı uygulayın:

ln -s /lib64/security/pam_tally2.so /lib64/security/pam_tally.so

Sonra su deneyin. İşe yaramalı.