OpenBSD - не могу получить доступ на перезапись некоторых файлов - залогинен под root

1

1

Приветствую всех. Полдня гуглил, но так и не нашел решения своей проблемы. Суть вот в чем - есть установленная система OpenBSD, у меня есть root доступ. Мне нужно либо отключить, либо настроить кое какие правила для pf. Для этого нужно подправить либо /etc/pf.conf, либо /etc/rc.conf.local для того, чтобы прописать там строчку pf=NO Но система отказывает мне в записи в эти файлы, не смотря на то, что я зашел под root. Я даже ради интереса поставил свою, чистую OpenBSD. На чистой системе эти файлы отлично редактируются и сохраняются. Я примонтировал вторым хардом в отдельную папку главный раздел с проблемной системы - так даже под чистой системой я не могу редактировать те файлы! То есть блокировка на уровне ФС? Как её обойти? Я не очень силен в BSD, мне всего лишь нужно подправить один файл, полдня уже убил :(

OpenBSD 5.5, раздел смонтирован как rw, добавлять/удалять другие файлы в /etc могу

Ссылка

←	Не загружается модуль

При обновлении системы в Pacman все пакеты старше чем установленые

→

Что за файловая система используется?

$ mount
$ cat /etc/fstab
$ ls -l /etc/pf.conf

Deleted
(04.09.14 17:32:23 MSK)
Последнее исправление: log4tmp 04.09.14 17:33:01 MSK (всего исправлений: 1)

Ссылка

Если бы это был linux, кроме параметров монтирования я бы смотрел на расширенные атрибуты lsattr. Есть ли они в bsd'шной ФС - не знаю.

router ★★★★★
(04.09.14 17:35:55 MSK)

Ссылка

Помогло следующее: загрузился в single user mode и chflags noschg /etc/rc.conf.local

Resquer
(04.09.14 17:39:52 MSK) автор топика

Ответ на: комментарий от Resquer 04.09.14 17:39:52 MSK

лучше бы показал вывод команд что предложили выше.

либо

pfctl -d

вместо отключения pf при загрузке

nerve ★★
(04.09.14 18:16:33 MSK)

Проверь эти файлы с ls -lo на предмет расширенных флагов, в частности флага schg — immutable flag.

За деталями сюда: http://mdoc.su/o/chflags

Второй вариант: проверь, не находится ли securelevel в состоянити 2: sysctl kern.securelevel

Детали: http://mdoc.su/o/securelevel

beastie ★★★★★
(04.09.14 18:48:45 MSK)

Ответ на: комментарий от beastie 04.09.14 18:48:45 MSK

Да, как я выше отписал, проблема была именно в расширенных флагах. И securelevel был в состоянии 2.

Просто никогда не сталкивался с этим до этого, мне и без этих штук нормально жилось, вот и не знал.

Resquer
(04.09.14 20:32:17 MSK) автор топика

Ответ на: комментарий от nerve 04.09.14 18:16:33 MSK

Ну мне pf именно на этой машине не нужен, т.к. есть пограничный файрвол до неё. А кроме меня туда никто не полезет. В данном конкретном случае локальный файрвол только мешает.

Вывод команд теперь уже не нужен, т.к. решил проблему. Но если все равно есть большое желание увидеть, то:

# mount
/dev/wd0a on / type ffs (local) 
/dev/wd0k on /home type ffs (local, nodev, nosuid) 
/dev/wd0d on /tmp type ffs (local, nodev, nosuid)
/dev/wd0f on /usr type ffs (local, nodev)
/dev/wd0g on /usr/X11R6 type ffs (local, nodev)
/dev/wd0h on /usr/local type ffs (local, nodev)
/dev/wd0j on /usr/obj type ffs (local, nodev, nosuid)
/dev/wd0i on /usr/src type ffs (local, nodev, nosuid)
/dev/wd0e on /var type ffs (local, nodev, nosuid)
/dev/wd0l on /var/unifi type ffs (local, nodev, nosuid)

# cat /etc/fstab
8ab1433ae93837ee.b none swap sw
8ab1433ae93837ee.a / ffs rw 1 1
8ab1433ae93837ee.k /home ffs rw,nodev,nosuid 1 2
8ab1433ae93837ee.d /tmp ffs rw,nodev,nosuid 1 2
8ab1433ae93837ee.f /usr ffs rw,nodev 1 2
8ab1433ae93837ee.g /usr/X11R6 ffs rw,nodev 1 2
8ab1433ae93837ee.h /usr/local ffs rw,nodev 1 2
8ab1433ae93837ee.j /usr/obj ffs rw,nodev,nosuid 1 2
8ab1433ae93837ee.i /usr/src ffs rw,nodev,nosuid 1 2
8ab1433ae93837ee.e /var ffs rw,nodev,nosuid 1 2
8ab1433ae93837ee.l /var/unifi ffs rw,nodev,nosuid 1 2


# ls -l /etc/pf.conf
-rw-------  1 root  wheel  1151 Jun 11 21:12 /etc/pf.conf

Resquer
(04.09.14 20:41:46 MSK) автор топика

Ссылка

Ответ на: комментарий от Resquer 04.09.14 20:32:17 MSK

Тот, кто настраивал твою систему или зелёный скрипт-кидди или дурак или ПАРАНОИК (не только с большой, но со всеми большими буквами), но скорей всего и то и другое и третье вместе.

Процитирую ман: «Highly secure mode may seem Draconian, but is intended as a last line of defence should the superuser account be compromised.»

Т.е. это не для работы, а что-бы «залочить» систему в одном сосотоянии на случай подозревемого или реального вторжения.

В securelevel 2 immutable flag не может быть удалён, правила pf не могут быть изменены и raw disk devices всегда read only.

Т.ч. что бы что-то поменять из вышеназванного в системе надо уйти в reboot и single user mode, что большей частью ни в коей мере не допустимо на «боевой» машине.

beastie ★★★★★
(04.09.14 20:57:12 MSK)
Последнее исправление: beastie 04.09.14 20:59:51 MSK (всего исправлений: 2)

Ответ на: комментарий от beastie 04.09.14 20:57:12 MSK

Это всего лишь контроллер для сети Unifi в виде готового аппаленса под vmware. Ребут вполне допустим и в «боевом» режиме, т.к. точки доступа нормально некоторое время живут и без контроллера, во вполне рабочем состоянии.

Вот тут я эту штуку взял: http://community.ubnt.com/t5/UniFi/UniFi-controller-vmware-appliance-3-2-1/td...

И на 5й странице того треда автор-параноик рассказал мне, как исправить ситуацию :)

Resquer
(04.09.14 22:13:15 MSK) автор топика