Последствия отключения root'а

0

1

Приветствую,

Отключил root правкой /etc/passwd:

root:x:0:0:root:/root:/sbin/nologin

все вроде работает правильно, за исключением bash-скриптов запускаемых по крону от root'a.

дело в том, что крон в системе нестандартный, задания запускаются следующим кодом (исходник на Си):

if ((pid = fork()) == 0) {
	syslog(LOG_DEBUG, "executing %s", job->command);

	dup2(infd, STDIN_FILENO);
	dup2(outfd[1], STDOUT_FILENO);
	dup2(outfd[1], STDERR_FILENO);

	/* close any open files */
	close(infd);
	close(outfd[0]);
	close(outfd[1]);

	closelog();

	setsid();

	execle(shell, shell, "-c", job->command, NULL, env);

	doLogOpen(LOG_CRON, LOG_PID, "%s(child)", progName);
	syslog(LOG_ERR, "Couldn't exec '%s -c %s': %m", shell, job->command);

	_exit(1);
}

если скрипт вызывать из консоли «$ sudo /etc/script», то скрипт выполняется корректно, но если вызвать его из крона, то в ответ получаю сообщение «This account is currently not available.»

Подскажите, как отключить рута, чтобы возможно было выполнять скрипты из крона? Или может быть надо менять код крона, что бы он не пытался логинится для выполнения скриптов?

Операционка CentOS 6.5

Ссылка

←	OpenWall и bridge

я что-то делаю не так!

→

Сделай

sudo cat /root/.bash_profile

потом включи голову, которой у тебя нет, судя по первым строкам топа, подумай немного, проанализируй увиденное, после этого ответь на вопрос: зачем ты сам выстрелил себе ногу?
Если и тут всё плохо, то хотя бы вику почитай штоле

novitchok ★★★★★
(10.01.14 13:38:25 MSK)
Последнее исправление: novitchok 10.01.14 13:38:56 MSK (всего исправлений: 1)

Ответ на: комментарий от novitchok 10.01.14 13:38:25 MSK

Благодарю за ответ, судя по которому ты прочел лишь первые строки и придумал все остальное. Почитай дальше, подумай, проанализируй и быть все-таки найдется что-нибудь по делу сказать...

mrs
(10.01.14 14:04:55 MSK) автор топика

Ответ на: комментарий от mrs 10.01.14 14:04:55 MSK

Просвети нас пожайлуста всех, ЗАЧЕМ отключать root-а?

anonymous
(10.01.14 14:31:28 MSK)

Ответ на: комментарий от anonymous 10.01.14 14:31:28 MSK

Убунтята кричат, что небезопасно.

comp00 ★★★★
(10.01.14 14:33:51 MSK)

Доктор, почему мне больно, когда я стреляю себе в ногу?

beastie ★★★★★
(10.01.14 14:34:44 MSK)

Ссылка

Ответ на: комментарий от comp00 10.01.14 14:33:51 MSK

Тогда надо еще и всех юзеров с доступом к sudo отключить.

Lavos ★★★★★
(10.01.14 14:36:20 MSK)

Ссылка

Где тег #ССЗБ ?

Dispetcher14 ★★★★★
(10.01.14 14:37:49 MSK)

Ссылка

execle(shell, shell ... )

...:/sbin/nologin

Проблема где-то тут...

Kiborg ★★★
(10.01.14 14:40:05 MSK)

Я так и не понял, зачем нужно было изменять shell.
Чем не устроил вариант passwd -l root?

blackst0ne ★★★★★
(10.01.14 14:47:09 MSK)

Ответ на: комментарий от Kiborg 10.01.14 14:40:05 MSK

Ага, чувствую что где-то здесь, но с системными вызовами не так хорошо знаком...

mrs
(10.01.14 14:58:38 MSK) автор топика

Ответ на: комментарий от blackst0ne 10.01.14 14:47:09 MSK

Точно, вот этот вариант я и искал, пасиб! ) Подумывал еще над тем, чтобы пароль root'у сделать невероятно сложным, скажем из сотни случайных символов.

mrs
(10.01.14 15:00:11 MSK) автор топика

Ссылка

Еще один считает себя умнее линукса.

anonymous
(10.01.14 15:00:58 MSK)

Ссылка

Если хотел «отключить» рута таким корявым способом, то нужно было редактировать /etc/shadow

Mr_Alone ★★★★★
(10.01.14 15:05:08 MSK)

Ответ на: комментарий от Mr_Alone 10.01.14 15:05:08 MSK

А есть способ не «корявый»?

mrs
(10.01.14 15:08:38 MSK) автор топика

Ответ на: комментарий от mrs 10.01.14 15:08:38 MSK

не отключать, очевидно же

~~pylin~~ ★★★★★
(10.01.14 15:12:23 MSK)

Ссылка

Ответ на: комментарий от mrs 10.01.14 14:58:38 MSK

Системные вызовы ни при чем. Просто шелл у рута = /sbin/nologin, и когда ты пытаешься запустить в этой «оболочке» скрипт, получается фигня, потому что она ничего не делает, а только выдает сообщение что аккаунт отключен.

Kiborg ★★★
(10.01.14 15:14:20 MSK)

Ответ на: комментарий от mrs 10.01.14 15:08:38 MSK

Как уже сказали выше, man passwd:

       -l, --lock

           Lock the password of the named account. This option disables a
           password by changing it to a value which matches no possible
           encrypted value (it adds a ´!´ at the beginning of the password).

           Note that this does not disable the account. The user may still be
           able to login using another authentication token (e.g. an SSH key).
           To disable the account, administrators should use usermod
           --expiredate 1 (this set the account's expire date to Jan 2, 1970).

Kiborg ★★★
(10.01.14 15:16:27 MSK)

Ответ на: комментарий от Kiborg 10.01.14 15:14:20 MSK

я пытался это донести топстартеру, но увы и ах, его ответ сказал о многом.)))

novitchok ★★★★★
(10.01.14 15:30:54 MSK)

Ответ на: комментарий от Kiborg 10.01.14 15:16:27 MSK

Спасибо, нужное мне решение нашлось!

mrs
(10.01.14 15:40:19 MSK) автор топика

Ссылка

Ответ на: комментарий от novitchok 10.01.14 15:30:54 MSK

я пытался выудить из ваших слов что-нибудь полезное, но увы, не получилось... однако, еще раз благодарю за внимание... вопрос решен

mrs
(10.01.14 15:42:27 MSK) автор топика

Ссылка

Ответ на: комментарий от comp00 10.01.14 14:33:51 MSK

> Просвети нас пожайлуста всех, ЗАЧЕМ отключать root-а?
Убунтята кричат, что небезопасно.

Простите, не могли бы вы перечисли риски? «Мне так, для себя, чисто поржать» (С)

Kroz ★★★★★
(10.01.14 16:07:13 MSK)

Ответ на: комментарий от Kroz 10.01.14 16:07:13 MSK

Блин, полоркай, тредов дофига. Даже у меня был тред, почему в убунте нет полноценного рута.

comp00 ★★★★
(10.01.14 16:09:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenWall и bridge

Admin

я что-то делаю не так!

→

Похожие темы