[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:05857] Re: telnetで楽にrootになれる



神戸大学の辰己です。このMLでははじめて発言します。

この文書の著作権は保持しますが、私が書いた部分について、非営利であれば
私に無許可で他の人に複製・転送・印刷をしても構いません。

From: yube <yube@mizar.freemail.ne.jp>
>  win2000でtelnetを使いLinuxを操作しているのですが、一般ユーザーでログイ
> ンし、suコマンドを実行するとパスワードも聞かずにいきなりスーパーユーザー
> になってしまいます。(ログインのときにrootとやるとちゃんとはじかれます。
> 一般ユーザーから一般ユーザーのときはちゃんとパスワードは聞かれます。)

su でスーパーユーザーになれるならば、
スーパーユーザーでないときに

  id

と叩いてみて下さい。uid=0 だったりしませんか?

> ローカルで前者の作業を行うとちゃんとパスワードは聞かれます。telnetで
> ちゃんとパスワードを聞かれるようにしたいのですがどうすればいいのでしょ
> うか?ついでに、telnetでのみsuコマンドを使えないようにしたいのですが。

いちおう、おまじない的な事を書いておきます。

●まず、root password をつけましょう。root になってから、

  passwd

とタイプして、root password を2回、同じものを入力して下さい。

すぐにログアウトしないで、他の端末やコンソールから、
そのパスワードで su できるかを確認して下さい。

●つぎに、su で root になれる人を hogehoge と gerogero にします。
まず、

  /etc/group

というファイルを見て下さい。先頭に

  root::0:root

という行があります。ここを

  root::0:root,hogehoge,gerogero

としてください。そして、 /etc/login.defs の 228 行目(plamo 1.4の場合)

   SU_WHEEL_ONLY   no

を

   SU_WHEEL_ONLY   yes


にしてください。

すぐにログアウトしないで、hogehoge と gerogero なら
そのパスワードで su できるかを確認して下さい。
また、他のユーザでは su で root になれない事も確認して下さい。

●最後に telnet で root ログインできないようにします。

/etc/securetty というファイルの後ろの方にある

 ttyp0
 ttyp1
 ttyp2
 ttyp3

の行を削って下さい。ttyp? は telnet で入ったときの仮想端末名になり、
/etc/securenet は root でログインできる端末を表します。

このときも、すぐにログアウトしないで、telnet で root ログインできない
事を確認して下さい。また、X-Window を落して、コンソールから root ログ
インできる事も確認して下さい。

●以上、セキュリティでは超基本設定だと思いますので、ぜひとも実施して下
さい。

でも、こういう事↑が原因じゃないという気もしますね。

Follow-Ups
[plamo:05858] Re: telnetで楽にrootになれる, yube
References
[plamo:05854] telnetで楽にrootになれる, yube

[検索ページ] [メール一覧]
Plamo ML 公開システム