[ssh] plus de connexion root (Résolu)

[Musky]

Bonjour,

J'ai un PC serveur dans le garage auquel j'accède via ssh. Depuis aujourd'hui, je peux toujours me connecter en tant qu'utilisateur, mais dès que je lance un su, j'obtiens une erreur d'authentification:

Code : Tout sélectionner

su
Mot de passe : 
su: Échec d'authentification

Je suis donc descendu avec mon clavier (et mon écran) sous le bras, pour vérifier que j'avais encore accès au root en étant directement devant la machine. Heureusement, je peux toujours me connecter en root en étant physiquement dessus, mais ce n'est pas très pratique.
De retour à la maison (avec mon clavier et mon écran), j'ai tout de même tapé mon mot de passe en clair dans la console pour être sûr qu'il n'y avait pas de problème de configuration du clavier, mais non, mon mot de passe est bien le bon, il apparaît correctement, pas de q à la place du a ou autre bêtise du genre.

Les dernières actions effectuées avant le problème :

Code : Tout sélectionner

yaourt -Syu

suivi d'un

Code : Tout sélectionner

chown -R root:root /usr

(vi, j'avais, pour une raison que j'ai oubliée, changé le propriétaire de /usr..... me demandez pas pourquoi, alors forcément pacman se plaignait de permissions.... étranges)

Il faudrait que je teste en autorisant la connexion directe en root via ssh (via sshd_config), mais vous l'aurez compris, il faut à chaque fois que je descende le clavier et l'écran dans le garage, et c'est barbant, alors si quelqu'un a une idée, je suis sacrément preneur (et si vous avez besoin de logs, par pitié, demandez tout en une seule fois ! )

[FoolEcho]

Salut,

En premier lieu, il faut vérifier la configuration de /etc/ssh/sshd_config.

[Musky]

Code : Tout sélectionner

ls -alh /etc/ssh/sshd_config
-rw-r--r-- 1 root root 3,2K  3 nov.  13:10 /etc/ssh/sshd_config

Visiblement, la config n'a pas changé depuis le 3 novembre.... bref, je le mets en pastebin ici : http://pastebin.com/Uir5mYTU

[benjarobin]

Attention des fichiers dans /usr n'appartiennent pas à root, et attention aux flags setuid / setguid :

Code : Tout sélectionner

ls -ld /usr/share/polkit-1/rules.d
drwx------ 2 polkitd root 4,0K 25 févr.  2014 /usr/share/polkit-1/rules.d

find /usr ! -group root -exec ls -l {} \;
-rwxr-sr-x 1 root locate 39520 14 déc.  18:54 /usr/bin/locate
-rwxr-sr-x 1 root tty 27440 24 oct.  15:31 /usr/bin/wall
-rwxr-sr-x 1 root tty 14944 24 oct.  15:31 /usr/bin/write
-rwxr-xr-- 1 root wireshark 85648 12 janv. 11:16 /usr/bin/dumpcap
-rwxr-sr-x 1 root utmp 10192 25 oct.   2013 /usr/lib/utempter/utempter
-rwxr-sr-x 1 root nobody 52312  8 févr. 13:22 /usr/lib/kde4/libexec/kdesud
-rwxr-sr-x 1 root utmp 14928 16 déc.  10:16 /usr/lib/vte/gnome-pty-helper
-rwsr-x--- 1 root dbus 294496  9 févr. 19:52 /usr/lib/dbus-1.0/dbus-daemon-launch-helper

find /usr \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;
-rwxr-sr-x 1 root locate 39520 14 déc.  18:54 /usr/bin/locate
-rwxr-sr-x 1 root tty 27440 24 oct.  15:31 /usr/bin/wall
-rwsr-xr-x 1 root root 47184  1 janv. 19:57 /usr/bin/passwd
-rwsr-sr-x 1 root root 35616 13 janv. 14:32 /usr/bin/mount.cifs
-rwsr-xr-x 1 root root 68488  1 janv. 19:57 /usr/bin/gpasswd
-rwsr-xr-x 1 root root 434432 11 nov.  19:18 /usr/bin/screen-4.2.1
-rwsr-xr-x 1 root root 31752 24 oct.  15:31 /usr/bin/su
-rwsr-xr-x 1 root root 36848  1 janv. 19:57 /usr/bin/sg
-rwsr-xr-x 1 root root 33864  1 janv. 19:57 /usr/bin/newuidmap
-rwsr-xr-x 1 root root 52192 17 oct.  03:55 /usr/bin/ksu
-rwsr-xr-x 1 root root 55248  1 janv. 19:57 /usr/bin/chage
-rwsr-xr-x 1 root root 23544  1 janv. 19:57 /usr/bin/expiry
-rwxr-sr-x 1 root tty 14944 24 oct.  15:31 /usr/bin/write
-rwsr-xr-x 1 root root 29232 18 janv. 22:29 /usr/bin/nvidia-modprobe
-rwsr-xr-x 1 root root 10696 24 oct.  15:31 /usr/bin/newgrp
-rwsr-xr-x 1 root root 33864  1 janv. 19:57 /usr/bin/newgidmap
-rwsr-xr-x 1 root root 23600 24 oct.  15:31 /usr/bin/chsh
-rwsr-sr-x 1 root root 31368 16 juin   2014 /usr/bin/unix_chkpwd
-rwsr-xr-x 1 root root 27624 24 oct.  15:31 /usr/bin/umount
-r-s--x--x 1 root root 132344  5 févr. 09:16 /usr/bin/mount.nfs
-rwsr-xr-x 1 root root 44512 24 nov.  19:37 /usr/bin/crontab
-rwsr-xr-x 1 root root 40168 24 oct.  15:31 /usr/bin/mount
-rwsr-xr-x 1 root root 14712 31 janv. 20:03 /usr/bin/suexec
-rwsr-xr-x 1 root root 23664 24 oct.  15:31 /usr/bin/chfn
-rwsr-xr-x 1 root root 31344 25 oct.   2013 /usr/bin/fusermount
-rwsr-xr-x 1 root root 23280 25 févr.  2014 /usr/bin/pkexec
-rwxr-sr-x 1 root utmp 10192 25 oct.   2013 /usr/lib/utempter/utempter
-rwsr-xr-x 1 root root 10488 11 févr. 09:29 /usr/lib/xorg-server/Xorg.wrap
-rwsr-xr-x 1 root root 11019  3 janv. 13:04 /usr/lib/kf5/fileshareset
-rws--x--x 1 root root 460920  7 oct.  04:28 /usr/lib/ssh/ssh-keysign
-rwsr-xr-x 1 root root 14752 25 févr.  2014 /usr/lib/polkit-1/polkit-agent-helper-1
-rwsr-xr-x 1 root root 31952 10 févr. 16:45 /usr/lib/virtualbox/VirtualBox
-rwsr-xr-x 1 root root 31808 10 févr. 16:45 /usr/lib/virtualbox/VBoxNetNAT
-rwsr-xr-x 1 root root 11080 10 févr. 16:45 /usr/lib/virtualbox/VBoxNetAdpCtl
-rwsr-xr-x 1 root root 31744 10 févr. 16:45 /usr/lib/virtualbox/VBoxSDL
-rwsr-xr-x 1 root root 31808 10 févr. 16:45 /usr/lib/virtualbox/VBoxNetDHCP
-rwsr-xr-x 1 root root 31808 10 févr. 16:45 /usr/lib/virtualbox/VBoxHeadless
-rwxr-sr-x 1 root nobody 52312  8 févr. 13:22 /usr/lib/kde4/libexec/kdesud
-rwsr-sr-x 1 root root 18912  4 févr. 10:11 /usr/lib/kde4/libexec/kcheckpass
-rwsr-xr-x 1 root root 10520  4 févr. 04:26 /usr/lib/kde4/libexec/start_kdeinit
-rwsr-xr-x 1 root root 11019 29 janv. 19:47 /usr/lib/kde4/libexec/fileshareset
-rwsr-xr-x 1 root root 18368  6 févr. 05:01 /usr/lib/chromium/chrome-sandbox
-rwxr-sr-x 1 root utmp 14928 16 déc.  10:16 /usr/lib/vte/gnome-pty-helper
-rwsr-x--- 1 root dbus 294496  9 févr. 19:52 /usr/lib/dbus-1.0/dbus-daemon-launch-helper

Je dirais que tu as tout simplement cassé les droits de /usr/bin/su

[Musky]

hmm... vais imprimer ta liste et redescendre mon clavier (j'ai posé mon deuxième écran sur place, ça fera ça de moins

Edit dans quelques minutes

----Edit----
Yep, en restaurant les bons droits sur /usr/bin/su je peux à nouveau me connecter... Je le sais pourtant que le pouvoir absolu doit être associé à une prudence extrême, mais que voulez-vous.... je ne suis ni Frodon, ni Bilbo... moi c'est plutôt Gollum.... Mon pressssssieux anneau ROOOOOOOTTTTTTTT

Merci à vous deux, j'édite en résolu

[benjarobin]

Une fois que tu as réparé "su", je te conseil vivement de vérifier l'intégralité de ton système, via cette commande en root :

Code : Tout sélectionner

LC_ALL=C pacman -Qkk | grep mismatch

[Musky]

hmmm.... avec ta commande, j'ai certes quelques UID ou GID mismatch, mais j'ai aussi plein de "Modification Time Mismatch" ou de "Size Mismatch"... ça vient d'où ça ?

[FoolEcho]

Je dirais que tu as tout simplement cassé les droits de /usr/bin/su

Ah oui, gros problème d'attention et de lecture en diagonale, j'avais raté la modif sur /usr...

[benjarobin]

@Musky C'est très souvent normal les "Modification Time mismatch". Il faut par contre absolument corriger les "UID/GID mismatch".
De plus pour les "Size Mismatch" il faut analyser si c'est normal, si c'est dans /etc tu peux ignorer...