© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Thomas Beer <nohuman(at)gmail.com> wrote:
> [tom(at)lap tom]$ which -a su
> /usr/bin/su
> [tom(at)lap tom]$ ldd /usr/bin/su
> /usr/bin/su:
> libutil.so.4 => /lib/libutil.so.4 (0x28078000)
> libpam.so.2 => /usr/lib/libpam.so.2 (0x28084000)
> libc.so.5 => /lib/libc.so.5 (0x2808b000)
> [tom(at)lap tom]$
Hmm, sieht alles ganz normal und in Ordnung aus.
Ich würde an Deiner Stelle mal versuchen, die Stelle zu
finden, die die ominöse Fehlermeldung verursacht hat, und
dort dann gezielt zu untersuchen, was für ein Programm
namens »su« versucht wurde aufzurufen (z.B. durch Einfügen
entsprechender echo/ldd/type/which-Kommandos in das be-
treffende Shell-Skript).
> > > cat .bashrc |grep PATH
> >
> > Ich hoffe, Du hast root keine bash als Login-Shell gegeben,
> > oder?
>
> Doch. Was wäre denn richtig?
Root's Login-Shell nicht anzurühren. Da man sich eh nicht
als root einloggt, ist dessen Login-Shell irrelevant für
den/die Admin(s). (Stattdessen verwendet man z.B. »su -m«,
was außerdem den Vorteil hat, daß jeder Admin auch als root
sein gewohntes Login-Environment mit seiner Lieblings-Shell
hat, ohne daß irgendjemandem eine bestimmte Shell aufge-
zwungen wird.)
> > Mal was ganz anderes: Hast Du mal die Möglichkeit in Er-
> > wägung gezogen, daß jemand ein Root-kit installiert haben
> > könnte (Tools wie tripwire oder mtree sind für sowas hilf-
> > reich)? Ich will Dir ja keine Angst machen, aber es wäre
> > eine denkbare Erklärung für die beschriebenen Symptome.
>
> Also der Rechner ist nicht wirklich oft online und ipfilter müsste
> passen. Und ein make world hab ich auch vor kurzem gemacht,
> wobei das nicht wirklich was heisst.
Naja, das heißt alles nicht wirklich was.
> Für Tripwire ist es jetzt wohl auf jeden Fall zu spät...
Das stimmt allerdings. Du könntest natürlich von einem
bekannt »sauberen« Medium (CD/DVD, andere Platte) booten
und von dort aus das verdächtige Dateisystem untersuchen.
Wenn das ldd dann plötzlich was ganz anderes ausgibt, ist
es an der Zeit, wirklich Angst zu kriegen. ;-)
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Being really good at C++ is like being really good
at using rocks to sharpen sticks."
-- Thant Tessman
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 19 May 2005 - 15:19:20 CEST