# "su - root" geht nicht mehr, root autologin [beendet]

## drvolk

Hallo,

ohne dass ich wissentlich irgendetwas bzgl. Logins verstellt habe kann ich nun mit meinem User Account kein "su - root" mehr durchführen (Berechtigung fehlt).

Außerdem komme ich jetzt plötzlich als "root" ohne Angabe eines Passworts auf mein System.

Hat sich da jetzt jemand bei mir "eingehackt" oder könnte das auch durch das letzte "emerge --update --deep world" entstanden sein ?

Befürchte fast dass ersteres passiert ist. Muß ich dann mein Gentoo nochmal komplett neu aufsetzen um den "Eindringling" sicher loszuwerden oder gibt es auch andere, sichere Möglichkeiten ?Last edited by drvolk on Mon Jun 16, 2008 6:25 am; edited 1 time in total

----------

## sicus

eine möglichkeit, wieso das su nichtmehr fuktioniert könnte sein, daß dein benutzer nicht oder aus irgendeinem grund nichtmehr in der gruppe wheel ist. schau mal nach und füge ihn dieser gruppe zu, wenn er nicht drin ist.

root login ohne passwort? hmm, hab ich nie von gehört. aber versuch einfach mal das passwort deines root zu ändern.

----------

## drvolk

Danke, aber "passwd" hatte ich direkt probiert nachdem ich als "root" ohne Angabe ein passworts reinkam, Ergebnis:

passwd Authentication token manipulation error

Habe im Inet ein bischen rumgesucht und nur rausgefunden dass ggf. etwas mit der /etc/passwd oder /etc/shadow nicht stimmt, oder die Rechte des passwd binaries möglicherweise falsch gesetzt sind.

Aber wieseo komme ich als root einfach so drauf ?

Für mich deutet das alles darauf hin, dass mein System von außen manipuliert wurde (möglicherweise wurde das binary "passwd" ausgetauscht, so dass ich das root pw nicht mehr setzten kann. Vielleicht geht deshalb "su" auch nicht mehr ...).

Ich werde mich wohl mit dem Gedanken anfreunden müssen mein System komplett neu aufzusetzen  :Sad: 

----------

## Finswimmer

Nach den Updates hast du etc-update laufen lassen?

Vor einiger Zeit gab es mal ein shadow Update, evtl. lief da bei dir was schief?

Tobi

----------

## drvolk

Danke, guter Tipp !

Mache eigentlich regelmäßig das etc-update, aber vielleicht hab ichs mal ausgelassen oder dabei die falsche config übernommen.

Das schaue ich mir auf jeden Fall nochmal genauer an (sobald ich Zuhause bin)!

----------

## sicus

stimmt, kürzlich gabs ein update von shadow. und siehe da was equery sagt:

```

equery belongs /usr/bin/passwd

[ Searching for file(s) /usr/bin/passwd in *... ]

sys-apps/shadow-4.0.18.2 (/usr/bin/passwd -> /bin/passwd)

```

```

equery belongs /bin/su

[ Searching for file(s) /bin/su in *... ]

sys-apps/shadow-4.0.18.2 (/bin/su)

```

und sollte ein etc-update nicht helfen kannst ja versuchen shadow neu zu emergen. sollte auch helfen falls dein system tatsächlich manipuliert wurde[/code]

----------

## Fabiolla

Hallo, 

siehe -> https://forums.gentoo.org/viewtopic-t-679796.html

lg

----------

## schmutzfinger

Du hast wahrscheinlich gestern Updates gemacht oder? Und da war mit hoher Wahrscheinlichkeit pam dabei. Ich habe gestern selber dieses Update gemacht.

Bei mir ist nix kaputt gegangen aber wenn du deine pam-config angepasst hast, zB wegen extra Modulen, dann könnte was kaputt gegangen sein. Vor allem müssen diese Module gegen das neue pam neu gebaut werden. (revdep-rebuild)

revdep-rebuild hat bei mir gestern zB sys-auth/thinkfinger gefunden, und das war bei mir auch der Grund warum meine pam-config nicht original war.

----------

## think4urs11

 *drvolk wrote:*   

> Befürchte fast dass ersteres passiert ist. Muß ich dann mein Gentoo nochmal komplett neu aufsetzen um den "Eindringling" sicher loszuwerden oder gibt es auch andere, sichere Möglichkeiten ?

 

Sofern es nicht doch (was wahrscheinlicher ist) durch ein Update von shadow/pam/pambase passiert ist dann ja, mußt du; alles andere ist grob fahrlässig.

----------

## artbody

also root ohne passwort ist ja auch auf der installationscd irgendwie drauf.

da muß man 

```
sudo passwd 
```

 ausführen um das Passwort zu ändern

dann su root mit neuem passwort

----------

## drvolk

Danke an alle für die Tipps.

Leider habe ich die letzteren erst heute lesen können und da ich mein System inzwischen neu aufgesetzt habe kann ich leider auch nicht mehr prüfen, obs vielleicht geholfen hätte.

Besondere PAM Einstellungen hatte ich eigentlich nicht und dass man sich durch ein "normales" Update eine solche Sicherheitslücke einhandeln kann (root login ohne PW !) schein mir unwarhscheinlich , denn dann hätten noch viele andere dieses Problem reportet. 

Da ich bisher mein WLAN nicht besonders gesichert hatte (nur WEP), denke ich dass sich da jemand wirklich eingehackt hatte.

Jedenfalls habe ich mir nun die Mühe gemacht und auf WPA2 umgestellt (mit mac filter und hidden ap) und mein Gentoo anhand des Sicherheitleitfaden entspr. besser abgesichert.

----------

