как узнать у кого есть root в linux


Страницы: (2) [1] 2	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

manager2	12.10.2017 - 17:50 [ показать ]
Статус: Offline Ярила Регистрация: 30.03.05 Сообщений: 25446	4 тупой вопрос по linux не работаю Никсах, от слова совсем нужно посмотреть список пользователей Linux и узнать, кто из них может работать с правами рута у меня права есть вот, я пишу в консоли cat /etc/passwd вижу список пользователей как мне понять, кто из них может работать с правами рута? понятно, что те, которые без права логина, исключаются дальше мои действия? как мне посмотреть, кто, пользуясь виндовой терминологией, в группе админы? PS шутку про drор database уже знаю, спасибо
	[^]

Yap	[ показать ] [x]
Продам слона Регистрация: 10.12.04 Сообщений: 1488
	[^]

~~snake776~~	12.10.2017 - 17:59 [ показать ] 0
Статус: Offline Весельчак Регистрация: 19.07.17 Сообщений: 132	groups vasya_pupkin ?
	[^]

cyberax	12.10.2017 - 18:01 [ показать ] 2
Статус: Offline Шутник Регистрация: 18.11.12 Сообщений: 38	группа sudoers у кого есть, тот и под рутом может работать
	[^]

manager2

12.10.2017 - 18:02

Статус: Offline

Ярила

Регистрация: 30.03.05
Сообщений: 25446

snake776
похоже
и тогда мне ,если Вася может работать с правами рута,
Линух напишет, что Вася входит в группу ROOT?
через полчасика смогу попробовать

извиняюсь, правда, в никсах ни ухом ни рылом
только в винде разбираюсь
вот, жизнь заставила влезть в эту адовую конструкцию

cyberax
ага, спасибо
а могу я, наоборот, сразу посмотреть кто в ходит в эту группу?

Цитата

groups sudoers

подойдет?

Это сообщение отредактировал manager2 - 12.10.2017 - 18:05

[^]

cyberax	12.10.2017 - 18:05 [ показать ] -1
Статус: Offline Шутник Регистрация: 18.11.12 Сообщений: 38	cat /etc/passwd \| grep sudo, если память не изменяет.
	[^]

Shadow2091	12.10.2017 - 18:06 [ показать ] 1
Статус: Offline Status Quo Регистрация: 27.02.13 Сообщений: 68	Под рутом могут работать те кто: 1. Знают пароль рута. 2. Входят в группу рута. 3. Имеют права на sudo. С первым все ясно, второе можно посмотреть grep root /etc/group, третье - смотри visudo. Это сообщение отредактировал Shadow2091 - 12.10.2017 - 18:10
	[^]

manager2	12.10.2017 - 18:07 [ показать ] 0
Статус: Offline Ярила Регистрация: 30.03.05 Сообщений: 25446	хорошо ,гляну сегодня спасибо
	[^]

Shadow2091

12.10.2017 - 18:07

Статус: Offline

Status Quo

Регистрация: 27.02.13
Сообщений: 68

Цитата (cyberax @ 12.10.2017 - 18:05)

cat /etc/passwd | grep sudo, если память не изменяет.

Группа sudoers есть в Дебиане (если не ошибаюсь), в других дистрах группа называется иначе. В рпм дистрах - wheel. Более того, ты можешь любому пользователю или любой группе разрешить судо.

[^]

dlrex

12.10.2017 - 18:08

Статус: Online

Инженегр

Регистрация: 24.11.13
Сообщений: 9905

Цитата (cyberax @ 12.10.2017 - 20:05)

cat /etc/passwd | grep sudo, если память не изменяет.

В Ubuntu точно не сработает. Нет там упоминаний sudo

Пы.Сы. Сейчас глянул у себя - в sudoers всем разрешено sudo. Всем трём пользователям. На FreeBSD - только пользователям группы wheel. Там уже можно по группе grep`нуть.

Это сообщение отредактировал dlrex - 12.10.2017 - 18:17

[^]

cyberax	12.10.2017 - 18:10 [ показать ] 0
Статус: Offline Шутник Регистрация: 18.11.12 Сообщений: 38	Я в основном с Дебианом работаю, так что если дистрибутив другой - может и отличаться. wheel во фряхе сто пудов есть.
	[^]

dlrex

12.10.2017 - 18:17

Статус: Online

Инженегр

Регистрация: 24.11.13
Сообщений: 9905

Цитата (cyberax @ 12.10.2017 - 20:10)

Я в основном с Дебианом работаю, так что если дистрибутив другой - может и отличаться. wheel во фряхе сто пудов есть.

Это точно!

[^]

TeXHaPb

12.10.2017 - 18:19

Статус: Offline

Шутник

Регистрация: 18.06.14
Сообщений: 10

Посмотреть, кто в группе root'а (у нее GID 0):

Код

texhapb@TeXWork(2017-10-12 18:11:48):~ $ cat /etc/group | grep :0:
root:x:0:

Посмотреть, кто в группе sudo:

Код

texhapb@TeXWork(2017-10-12 18:12:00):~ $ cat /etc/group | grep sudo
sudo:x:27:texhapb

Посмотреть настройки sudo:

Код

texhapb@TeXWork(2017-10-12 18:15:12):~ $ sudo cat /etc/sudoers | grep -P -v "^#"
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
root ALL=(ALL:ALL) ALL
%admin ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL

Смысл такой: пользователь root, группа admin и sudo могут выполнять любые команды от любого имени. Значит надо еще группу admin проверить:

Код

texhapb@TeXWork(2017-10-12 18:18:48):~ $ cat /etc/group | grep admin
lpadmin:x:113:texhapb

[^]

lexshadow

12.10.2017 - 18:22

Статус: Offline

Ярила

Регистрация: 17.11.10
Сообщений: 1403

Цитата

третье - смотри visudo.

Уже представил судорожные попытки выйти от туда

это же почти как про drор database описанное ТС-м
Ну если ТС рискнет - :q! и ентер

и да - в убунте по крайней мере не информативно

Это сообщение отредактировал lexshadow - 12.10.2017 - 18:29

[^]

Shadow2091

12.10.2017 - 18:25

Статус: Offline

Status Quo

Регистрация: 27.02.13
Сообщений: 68

Цитата (lexshadow @ 12.10.2017 - 18:22)

Цитата

третье - смотри visudo.

Уже представил судорожнйы попытки выйти от туда

это же почти как про drор database описанное ТС-м
Ну если ТС рискнет - :q! и ентер

У vim есть два режима - пищать и все портить

[^]

TeXHaPb

12.10.2017 - 18:26

Статус: Offline

Шутник

Регистрация: 18.06.14
Сообщений: 10

Цитата (lexshadow @ 12.10.2017 - 18:22)

Цитата

третье - смотри visudo.

Уже представил судорожнйы попытки выйти от туда

это же почти как про drор database описанное ТС-м
Ну если ТС рискнет - :q! и ентер

Если редактором vi - да. Но иногда редактором настроен nano, к примеру. Тогда там все написано...

Кстати, ТС, неплохо бы нам предоставить "cat /etc/issue", чтоб гадать было проще.

[^]

~~lky~~

12.10.2017 - 18:27

Статус: Offline

Балагур

Регистрация: 4.11.12
Сообщений: 842

Цитата (manager2 @ 12.10.2017 - 18:02)

вот, жизнь заставила влезть в эту адовую конструкцию

А ты попробуй изучить))) я вот тоже до последнего сопротивлялся, пока не сказали, есть стока то денег, и железо, нужен сервис такой то... Найди когонить...
Ну и полез неделю сайт лисяры ковырять))) Нашел себя :)

как десктопные системы - они конечно никакие, без бубна там никогда не обходится, все вечно с гемороем для виндового человека, а вот как сверверный вариант, за исключением АД - очень даже ничего! Я бы даже сказал, намного лучше чем винды))) но, опыт несомненно нужно приобретат, с наскоку не влетишь

[^]

Shadow2091

12.10.2017 - 18:29

Статус: Offline

Status Quo

Регистрация: 27.02.13
Сообщений: 68

Цитата (TeXHaPb @ 12.10.2017 - 18:26)

Цитата (lexshadow @ 12.10.2017 - 18:22)

Цитата

третье - смотри visudo.

Уже представил судорожнйы попытки выйти от туда

это же почти как про drор database описанное ТС-м
Ну если ТС рискнет - :q! и ентер

На, погадай мне на issue

# cat /etc/issue
\S
Kernel \r on an \m

[^]

kazanec

12.10.2017 - 18:33

Статус: Offline

Ярила

Регистрация: 20.08.12
Сообщений: 2351

Цитата (Shadow2091 @ 12.10.2017 - 18:06)

Под рутом могут работать те кто:
1. Знают пароль рута.
2. Входят в группу рута.
3. Имеют права на sudo.

4. Имеют доступ в систему и рабочий локальный эксплойт под ядро, повышающий привилегии :)

[^]

dlrex

12.10.2017 - 18:36

Статус: Online

Инженегр

Регистрация: 24.11.13
Сообщений: 9905

Цитата (lky @ 12.10.2017 - 20:27)

Цитата (manager2 @ 12.10.2017 - 18:02)

вот, жизнь заставила влезть в эту адовую конструкцию

Вполне приличный аналог АД делается на LDAP. Пользователи не замечают разницы.

[^]

Shadow2091

12.10.2017 - 18:36

Статус: Offline

Status Quo

Регистрация: 27.02.13
Сообщений: 68

Цитата (kazanec @ 12.10.2017 - 18:33)

Цитата (Shadow2091 @ 12.10.2017 - 18:06)

Под рутом могут работать те кто:
1. Знают пароль рута.
2. Входят в группу рута.
3. Имеют права на sudo.

4. Имеют доступ в систему и рабочий локальный эксплойт под ядро, повышающий привилегии :)

Вполне достаточно физического доступа к машине & (незашифрованного загрузчика | незашифрованной рутовой ФС)

Но не будем вдаваться в подробности. А то мы так и до объяснения основ SeLinux ТСу можем дойти

[^]

~~lky~~

12.10.2017 - 19:08

Статус: Offline

Балагур

Регистрация: 4.11.12
Сообщений: 842

Цитата (dlrex @ 12.10.2017 - 18:36)

Цитата (lky @ 12.10.2017 - 20:27)

Цитата (manager2 @ 12.10.2017 - 18:02)

вот, жизнь заставила влезть в эту адовую конструкцию

Вполне приличный аналог АД делается на LDAP. Пользователи не замечают разницы.

а как с реализацией GPO? :)

в свое время, когда я искал замену виндам... затык в этом и получился) в самбе обещали реализацию полноценной АД, давноооо, но воз и ныне там, насколько в курсе

[^]

dlrex

12.10.2017 - 19:20

Статус: Online

Инженегр

Регистрация: 24.11.13
Сообщений: 9905

Цитата (lky @ 12.10.2017 - 21:08)

Ну дык... я и не обещал полный аналог

[^]

cyberax

12.10.2017 - 21:50

Статус: Offline

Шутник

Регистрация: 18.11.12
Сообщений: 38

Цитата (dlrex @ 12.10.2017 - 18:36)

Цитата (lky @ 12.10.2017 - 20:27)

Цитата (manager2 @ 12.10.2017 - 18:02)

вот, жизнь заставила влезть в эту адовую конструкцию

Вполне приличный аналог АД делается на LDAP. Пользователи не замечают разницы.

Та ну... там костылей вагон прикрутить надо, плюс если у тебя домен с компами больше чем дофига - слишком многое придется делать при добавлении того же пользователя... плюс шары раздавать с правами - не всегда работает корректно, иногда самбу рестартить надо, короче - под некоторые задачи лучше мелкомягких нет.

[^]

manager2	12.10.2017 - 22:55 [ показать ] 0
Статус: Offline Ярила Регистрация: 30.03.05 Сообщений: 25446	TeXHaPb спасибо тебе большое, Добрый человек исчерпывающе
	[^]

manager2	12.10.2017 - 22:56 [ показать ] 0
Статус: Offline Ярила Регистрация: 30.03.05 Сообщений: 25446	lky посмотрим но очень уж не моё это как будто ботинки наизнанку надел
	[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 12128
0 Пользователей:

Страницы: (2) [1] 2

[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]