Linux freaks, help !

P

Ptje

Ik heb een servertje waar Mandrake op draaid. Nu heb ik het volgende probleem. Ik kreeg Proftpd maar niet werkend, naar veel zoeken en uiteindelijk hulp van Blacktiger bleek, dat de /home/ftp folder niet de juiste rechten had. Nadat veranderd te hebben, werkte Proftpd. Helaas was dit maar voor korte duur, want na half uur stonden de rechten weer als vanouds. Dit zelfde maak ik ook mee met bestand hosts.deny Hoe vaak ik die ook leeg maak, na 1/2 uur is die weer origineel.

Nu de ham vraag: weet iemand waar dat door komt en liever nog, hoe los ik het op ?
 
Zoek eens in de loggings wie of wat (en wanneer) aan je (hosts.deny / hosts.allow) files zit te knoeien. Die horen overigens alleen voor root een w bitje te hebben.
 
Er zit in Mandrake zo'n securitycheck.sh en nog een andere ...check.sh of zoiets.
Die heb ik wel zien draaien, heb de configs ervan bekeken maar ik had niet de indruk dat die ook dingen terug naar origineel zetten.

In de /etc/hosts.deny file komst steeds ALL:127.0.0.1 DENY terug te staan, dus alles buiten localhost wordt verboden.

Maar misschien dat hier nog wel een Mandrake kenner zit die al weet waar het probleempje schuilt want ik heb dat zelf vroeger ook eens gehad en uiteindelijk wel gevonden, maar dat is zo lang geleden dat ik het zo ook niet meer weet.
De /var/log/messages gaf wel waarschuwingen dat files veranderd waren, maar er stond niet bij van welk proggie die waarschuwingen kwamen en ook niet dat de settings weer teruggezet worden.

Het moet een securitycheck zijn die waarschijnlijk via een crontab loopt, vraag is alleen welke.
 
Originally posted by Black Tiger
Er zit in Mandrake zo'n securitycheck.sh
Klik om te vergroten...
Nou, dan ff een locate check.sh en je weet waar ze staan. FF editen, met view ofzo en kijken wat daar gebeurt.
In de /etc/hosts.deny file komst steeds ALL:127.0.0.1 DENY terug te staan
Klik om te vergroten...
Ja? En wat zijn de permissies en eigenaren? Dan weet je ook al veel meer wie er aan kan komen.
die waarschijnlijk via een crontab loopt, vraag is alleen welke.
Klik om te vergroten...
Doe een substitute user naar alle mogelijke gebruikers die aan de hosts.deny file mogen komen, als het kan met omgevingsvariabelen, (su - [user]) en doe een crontab -e en vind het script. Als het geen binary is, lekker editen.

Andere werkwijze: het logging niveau wat hoger, zodat er meer in de logging komt te staan. Wel weer terugzetten daarna, om te voor komen dat de partitie vol komt te staan met een onzinnige hoeveelheid logging.

:)[SIZE=-3]Wat een schat aan informatie. Dat is de manier om snel tot resultaten te kunnen komen. Heel fijn, die postings van BT![/SIZE]
 
LoL.:)
Om even kort maar krachtig antwoord te geven op je vragen even het volgende.
Je moet hier uitgaan van een Linuxserver thuis, met een vrij standaard Mandrake installatie.

In die zin zijn er dus maar 3 users. De user root en nog 2 users zonder rechten.
Bij standaard installatie is user root de enige die aan de /etc/hosts.deny file mag komen dus vandaar ook dat het root moet zijn en dat het dus ook vrijwel zeker een crontab of een check is die als root draait.

Ik heb wel iets gezien van een /var/lib/msec/msec.conf of iets in die geest, maar daar kon je alleen dingen op yes en op no zetten en daar zag ik niet echt iets tussen staan wat aan zou duiden dat dingen ook weer naar origineel terug verandert zouden worden na wijziging.

Maar we gaan nog eens op zoek deze week, heb het momenteel nog altijd druk met de afhandeling van de zaken van Pa, leegmaken flat en vandaag gaan we de airco installeren.:)
 
Die airco kan nu wel weer even wachten! :biggrin:

Meestal zijn er nog meer gebruikers. Zoals: bin, daemon, lp, mail, news, uucp, games, man en at. Maar hopelijk kan alleen root iets met de /etc/hosts.deny doen (ll /etc/hosts.allow). Dan dus als root een crontab -e doen. Samen met de logging (timeprints) zou heel snel gevonden moeten kunnen worden of er een cronjob is die aan het goochelen is.
 
Die airco kan nu wel weer even wachten!
Klik om te vergroten...
Dikke neus! :biggrin:
De airco hangt al, maar wat tegenslag gehad, dus morgen kunnen we pas de leidingen en de elektriciteit aansluiten, in principe zou dat niet meer dan een a anderhalf uurtje in beslag hoeven nemen en hups... dan type ik hier morgen lekker ook in de koelte.

Ohja, misschien dat Ptje zelf even dat crontab -e kan doen ik heb nl geen root-rechten op die bak. :)
Maar we vinden het wel, want wie zoekt zal vinden, al duurt het zoeken soms ook wel eens iets langer.:biggrin:
 
Sorry,

Ik had verwacht een mailtje te hebben als er geantwoord was, maar dat staat niet goed ingesteld denk ik. Ik zal eens wat neuzen in de dingen die voorgelegd worden. Morgen weer een dag :))
)
 
Even gekeken wie er allemaal bij kan bij die files. Dat is inderdaad root als user, maar de group daemon. Die group heeft alleen geen leden zoals ik zie.
 
En hoe staan de rechten? -rw-r--r-- misschien? Dan maakt het niet uit wat de groep is. Maar dan is het root of een rootproces die iets aanpast. Dus nu kijken hoe laat het voor het laatst gebeurt is en dan in de crontab van root kijken welke job dan loopt.

Staan de rechten zoiets als -rw-rw-r-- ? Kijk dan nog ff wat het antwoord is op deze regel:

grep deamon /etc/group ; test $? = 1 && echo groep deamon bestaat niet

Succes.
 
groep deamon bestaat niet

Geeft ie als antwoord en de rechten staan op 644

Ik ben er ook achter, dat het ieder uur dicht gaat.
 
Mooi, dus dat van die groep deamon moet maar even uitgezocht worden. Als die niet bestaat, mag dat ook niet een groep zijn. Dus dan maar de output van:

ll /etc/hosts.deny

geven. Ik ben benieuwd wat daar dan voor groep bij staat. Volgens mij moet dat root zijn.

Ga nu eerst maar in de crontab kijken met:

crontab -e

Zorg er wel voor dat je root bent. Anders zit je in de verkeerde crontab te koekeloeren.
 
Het bleek dat msec in elk geval die /etc/hosts.deny steeds terugzette.
Vannacht eens wat dingetjes in de config van msec uitgeschakeld en nu maar 'ns kijken of het nu beter gaat.:)
 
Kijk. Bingo!

Nu ben ik nog heel benieuwd wat de owner en group van de hosts.deny file zijn. Daar hebben jullie mij nou heel nieuwsgierig naar gemaakt. ;)

By the way, doet de airco het een beetje lekker?
 
Nu heb ik denk ik een domme acctie gedaan, als het daar van komt tenminste. Ik heb de rechten van Host.deny veranderd in 444, ik dacht dan kan ie ook niet gewijzigd worden. Ik heb daarna de server gereboot ben er mee gestopt. Nu probeer in net via webmin in te loggen, helaas geen webmin. Kan dat daardoor veroorzaakt worden ? Zo nee, komt het door een eerdere wijziging. Nu zal het komen, hoe kan ik nu nog inloggen op de server ? Zal toetsenboard en beeldscherm eraan maken worden denk ik. Ik heb via telnet nu geen toegang en ook niet via ssh. Dit deed ik normaal door de file host.deny leeg te maken via webmin, maar hoe doe ik dat nu...........
 
Wat dacht je ervan om naar de masjien toe te gaan, knoppenplank eraan te hangen, schermpje aan te sluiten en als root inloggen? (Als je er geen consoleserver op aan hebt gesloten.)
 
Ja daar kom je niet onderuit. Je moet ook nooit rechten van systeemfiles gaan veranderen als je niet weet of dat wel verstandig is.

Wat nu gebeurd is, is natuurlijk dat het event gelopen heeft, ik toch net het juiste dingetje van msec niet uitgeschakeld heb, en msec dus fijn weer die hosts.deny file heeft aangepast want als root mag je immers toch alles.
Daardoor mag je nu natuurlijk niet meer op die bak.:)

Komt wel weer goed, even doen wat KK zegt, lokaal inloggen en dan toch maar via commandline... EENS...zul je er toch aan moeten en dan blijkt na een bepaalde tijd toch wel dat dit veeeeel fijner is dan X, KDE en al die andere zooi.
Webmin is handig, maar moet je in feite als hulpmiddel gebruiken, niet als main config toestand.
 
Ik haal vandaag even een beeldscherm op op het werk, dan kan ik even console opbouwen. Ik moest er eerst via webmin de host.deny file legen anders kon ik er nergens mee op. Dus was toch wel makkelijk dat webmin :)) Ik hoop straks beter bericht te hebben .
 
De boel werkt weer zoals het hoord, Blacktiger heeft het opgelost. Het was iets met Msec, misschien dat Bt even kan uitleggen, waar het zat. Is misschien wel zo leerzaam voor iedereen. Ik zal het em eens vragen
 
Het progje msec lijkt mij een afkorting van Mandrake Security. Daar hoort een configuratiebestand bij. BT heeft het eerder aangegeven.

Zo zie je maar: het is altijd een groot voordeel in in de buurt van de staatsgevangenis te zijn. De kans is dan vrij redelijk dat de zwarte tijger in actie komt bij computerproblemen. Thanx BT.
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer



Oliebollen Hosting Fun Oliebollen

SPECIALE SERVICE

  » Fun op Twitter
  » Fun op Facebook
  » Image hosting
  » Internet Radio

Advertenties

Terug
Bovenaan Onderaan