PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : /usr/bin /usr/lib /usr/share und /usr/lib64 haben plötzlich User und Group 501?



Noether
17.09.13, 23:22
Ich erhielt heute eine Mail vom Tiger im PC:



Subject: Tiger Auditing Report for quadkubuntu

# Performing check of system file permissions...
NEW: --ALERT-- [perm001a] The owner of /usr/bin should be root (owned by 501).
NEW: --ALERT-- [perm001w] /usr/bin should not have group write.
NEW: --ALERT-- [perm002a] The group owner of /usr/bin should be root.
NEW: --WARN-- [perm001w] /usr/lib should not have group write.
NEW: --WARN-- [perm001w] /usr/share should not have group write.
NEW: --WARN-- [perm001w] The owner of /usr/lib should be root (owned by 501).
NEW: --WARN-- [perm001w] The owner of /usr/share should be root (owned by 501).
NEW: --WARN-- [perm002w] The group owner of /usr/lib should be root.
NEW: --WARN-- [perm002w] The group owner of /usr/share should be root.
NEW: --WARN-- [perm002w] The owner of /usr/bin should be root (owned by 501).


Und tatsächlich steht bei diesen Verzeichnissen User und Group 501.
Das habe ich korrigiert, aber es stellt sich die Frage wie das passiert ist und ob noch mehr nicht stimmt. Was meinen die Experten hier dazu? :confused:

TomTobin
18.09.13, 03:08
gibt es für User und Group 501 auch eingetragene Namen?

cat /etc/group | grep 501

Gruß

Tom

Noether
18.09.13, 09:55
gibt es für User und Group 501 auch eingetragene Namen?

cat /etc/group | grep 501


Nein, da ist nichts.

DrunkenFreak
18.09.13, 10:07
Entweder gab es ein Update, das die Rechte so bescheuert gesetzt hat, du hast selbst Hand angelegt (evtl. über ein Skript) oder dein System ist jetzt unsicher.

TomTobin
18.09.13, 11:54
Hast Du kürzlich distributionsfremde Software oder Skripte installiert? Bei Red Hat und ähnlichen Distris beginnen ab 500 die normalen User-Konten, bei Debian basierenden ab 1000.


Entweder gab es ein Update, das die Rechte so bescheuert gesetzt hat das wäre aber ein ziemlicher Bug /usr/bin einem normal-User zu übereignen :eek:

Ich kenne dein System jetzt nicht aber wenn es ein Server ist, üblicherweise aus dem Internet erreichbar und du einen manuellen Eingriff deinerseits ausschließen kannst, würde ich das Teil jetzt für unsicher halten.

Gruß

Tom

Noether
18.09.13, 12:41
Hast Du kürzlich distributionsfremde Software oder Skripte installiert?

Ja, stimmt, mit "cp -a" :rolleyes:
Ich sehe mal nach mit "find / -group 501 2>&1 | tee 501.txt" wo das Problem noch sein könnte und korrigierte ggf. mit



find / -group 501 -exec chown root:root {} \; 2>/dev/null