我有一个FreeBSD的盒子,我忘记了root密码。 我有物理访问权限,所以如果需要的话,我可以重新启动机器。 如何重设我的密码?
为了安全起见,我只允许一个虚拟用户在我的CentOS 5.8服务器上通过SSHlogin,为此我添加了: AllowUsers dummyaccount 当访问我的服务器时,我使用虚拟机login并使用su -来获得root权限,这种方式非常好。 现在我已经使用了sftp: Subsystem sftp /usr/libexec/openssh/sftp-server 当我用我的ssh客户端build立一个ssh隧道,并用FileZilla连接到它,我可以很好地login我的虚拟帐户,我最终在它的根。 然而,我现在想或者获得root权限与我的虚拟帐户上sftp时,所以我可以完全用它来pipe理文件系统或者我想允许rootloginsftp而不是ssh,所以换句话说, d用sshlogin虚拟机,并使用su -获得如上所述的root权限,但是当我创build一个ssh隧道时,我可以通过sftplogin到我的根目录。 我听说有一种方法只允许用户通过将其shell改为sftp-server来允许sftp访问,但是显然这不是root的选项,因为改变它的shell会破坏我所知道的系统。 用这种configuration让不同的用户能够工作,但是他们只能像虚拟机一样通过sftp访问文件系统。 你会build议什么?
目前我的组织在它的linuxconfiguration中有两个帐户,UID为0 – Root和Root2。 如果我们要为Root2帐户设置失败的login尝试设置,并且帐户随后被locking,那么它是否也locking了Root帐户? 我最初的想法是,lockingRoot2不会影响Root,因为当他们共享一个UID(并且似乎没有UID为0的用户数量的限制),他们显然可以有不同的密码。 这是准确的吗? 或者,我是否遗漏/忽略了身份validation过程中的一些机制,将UID为0的用户locking而不是特定的用户名?
我想在PHP中开发几个脚本,将调用以下命令; 使用exec()函数 service network restart crontab -u root /xyz/abc/fjs/crontab 等等 问题在于,Apache以脚本的身份执行脚本(我在CentOS 5上),无论是将apache添加到wheel还是做好,坏的和丑陋的组分配都不运行命令(如上所述)。 以下是我的configuration; 我的/ etc / sudoers root ALL=(ALL) ALL apache ALL=(ALL) NOPASSWD: ALL %wheel ALL=(ALL) ALL %wheel ALL=(ALL) NOPASSWD: ALL 正如我已经尝试与sudoer&httpd.conf的几个组合,最近的httpd.conf看起来如下; 我的httpd.conf User apache Group wheel 我的PHP脚本 exec("service network start", $a); print_r($a); exec("sudo -u root service network start", $a); print_r($a); 产量 Array ( [0] […]
一个小背景:我们有一个旧的机架式服务器运行定制版本的Fedora,由Navaho公司制造。 该服务器是一个TeamCAT,运行一些专有的垃圾称为Freedom2。 我们必须保持下去 – 另一种方法是非常昂贵的,而且企业不可能长时间运转来certificate改变的事情。 通过这种或那种方式,我试图解决我们缺乏根源的问题。 之前的pipe理员已经在公共汽车之下,没有任何线索。 我们无法访问此服务器的root帐户。 SSH在服务器上运行,并有一个帐户pipe理员,我们可以login,但它没有权限做任何事情(讽刺…) 进入服务器的唯一方法是使用空调制解调器串行电缆。 这工作…达到一个点。 我可以看到BIOS,我可以看到后面的BIOS屏幕,然后我看到“开始grub”,然后是另外一个屏幕,大约有四行Linux信息,但是随后停止。 服务器继续启动,大约两分钟后所有服务都会联机,但串行terminal不显示更多信息。 我知道可以将Linux设置为“单用户模式”来重置根密码,但是我不知道如何在上面列出的grub阶段尝试中断它。 当我尝试它只是冻结。 这几乎就像grub出现了(因为服务器没有继续启动),但我不能在串行terminal上看到它。 这让我想,也许grub屏幕有一些不同的串行设置? 我不知道…这是我第一次使用串行访问! 我的一个朋友build议尝试使用Fedora启动光盘。 我们可以从USB启动,所以沿着这个方法是可能的,但是我们仍然只能看到串行terminal正在发生什么,所以可能无法实现。 有没有人有任何build议,我可以尝试? 我很欣赏这是一个远射,但任何援助将是非常宝贵的。 更新1 – 28/8/12 – 今天我们将对此进行一些尝试,稍后会发布更多细节! 更新2 – 28/8/12 – 我尝试了至less四个不同的发行版,但无法进一步。 最终的结果总是一样的 – 你看到“SYSLINUX”等等,就像引导启动,但没有超过这一点。 据推测,这是因为大多数Linux的口味都有一些graphics界面作为他们的下一个屏幕,被串行控制台忽略。 我正在考虑尝试一个真正的旧版本的东西。 请记住,我们正在讨论一个大约10年的服务器。 它真的没有任何力量! 我尝试的最古老的东西是Ubuntu 6.06 LTS。 这是关于“最成功”(我看到除SYSLINUX以外的几行),CD旋转了很长时间,似乎在做一些事情,但没有任何东西进入terminal。 当我在一台普通的PC上启动它时,显然看起来像是一个graphics界面,所以我可以解释为什么我的串口terminal什么都不显示。 有什么更旧的,我可以尝试和启动?
我试图让PHP-FPM以root身份运行一个池,但似乎无法调整init.d启动参数。 它从CLI启动PHP-FPM(使用sudo php-fpm7.0 -DRy /etc/php/7.0/fpm/php-fpm.conf ,但是我不能得到这个与service命令( sudo service php7.0-fpm (re)start 。所以每当服务器重新启动,PHP-FPM失败,我将不得不运行此命令。 我已经尝试在/etc/default中将DAEMON_ARGS="–daemonize –fpm-config $CONFFILE -R"放入一个文件“php-fpm7.0 DAEMON_ARGS="–daemonize –fpm-config $CONFFILE -R" ,我甚至尝试将-R参数添加到直接在/etc/init.d/php7.0-fpm do_start函数,但是我一直在得到please specify user and group other than root错误please specify user and group other than root 。 有什么办法,我可以得到这个启动和service命令工作? 离题:我知道所有的风险,我知道为什么我不应该这样做,但是我想要。 我需要运行一些脚本来创build目录,执行chown命令等,池将专用于一个nginx服务器模块使用的后端,该模块只能在一个特定的URLpath上从私有192.168.1.Xnetworking访问。 作为替代,我可以设置一个cron脚本来执行一个PHP脚本作为根,但是这种方法会花费我更多的时间。
在我的工作中,我们将产品作为软件/硬件包在预装服务器上运送。 我们使用开放的SUSE 10.3作为操作系统,我们进行了设置,并且始终使用root用户login进行维护。 最近我们刚把盒子还给我们,客户说不能再通过networking接口连接到盒子上。 所以当我开始在这个盒子上工作时,我遇到了这个问题:在命令提示符login我键入用户名“root”,然后回车。 然后甚至在它要求我input密码之前,我得到“login不正确”。 我从来没有见过这种行为,并没有在网上find任何有关信息。 有人知道发生了什么事吗? 谢谢。
<?php echo `whoami`; ?> 所以这是返回“根”,我不知道如何防止它。 我正在使用WebHost Manager / CPanel,它应该创build多个用户/虚拟主机,并使Apache产生与用户/组一样的进程。 这没有发生。 如果我login到WHM并打开PHP和SuExecconfiguration部分,我的设置是: Default PHP Version (.php files) 5 PHP 5 Handler cgi PHP 4 Handler none Apache suEXEC on 怎么了? 我如何让Apache以正确的用户身份运行而不是root?
问题是:我有一个脚本定期通过cron 作为root运行 ,但是我想通过网页给人们一种asynchronous启动的方式。 (脚本将被写入,以确保它不会运行重叠的实例等。) 我不需要用户login或有一个帐户,他们只需点击一个button,如果脚本准备好运行它将运行。 用户可以为脚本select参数(大量过滤为input),但为了简单起见,我们会说他们只是有button来select按下。 作为一个简单的testing,我已经在cgi-bin中创build了一个Python脚本。 将它chown到root:root,然后将“chmod ug +”应用到它没有得到所需的结果:它仍然认为它有Web服务器帐户的有效组…从我可以告诉这不是允许。 我读过用一个编译好的cgi程序包装它会做这个工作,所以我创build了一个调用我的脚本(它的权限恢复正常)的C包装器,并给了可执行文件根权限和setuid位。 这工作…脚本运行,就像根运行它。 我的主要问题是,这是正常的(需要二进制包装完成工作),这是做到这一点的安全方式? 这不是面向世界的,但我仍然想学习最佳实践。 更广泛地说,我经常想知道为什么编译后的二进制文件在实践中比脚本更“可信”呢? 我想你会相信一个文件是一个神秘的二进制可读的文件。 如果攻击者可以编辑一个文件,那么你已经遇到了麻烦,如果是一个你不能轻易检查的文件。 简而言之,我希望这是在这个基础上的另一种方式。 你的想法?
我正在尝试为Linux服务器集合制定一个安全策略。 我的组织中有8个人需要通过SSH进行根级别访问。 在过去的公司,我的解决scheme是只允许RSA密钥,并为每个用户提供自己的密钥。 为了授予root权限,我把UID设置为0.这个否定需要设置sudo或者su似乎sudo su – 或者sudo / bin / bash。 这也让我做下面的事情。 我修补Bashlogginggetlogin()的返回值和命令到syslog。 然后,我logging了所有在服务器上运行的日志以及与用户绑定的用户名。 如果我使用su或者sudo,我只会得到root用户。 我现在正处于一个新的公司,并且想知道是否有人有他们使用和喜欢的政策。