-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hola On Tuesday 22 April 2003 15:28, soporte wrote: > Hola: > > Trato de aclarar el problema. Hoy no tengo forma de acceder a la máquina. > Probe con la opción: > > rescbf24 root=dev/sda2 y obtuve:
Si te vas fijando en lo que te cuenta.... > ... > Unknown id: news De momento el usuario news no es reconocido > starting printer spooler: lpd. > Not starting NFS kernel daemon: No exports. > Starting Samba daemons: nmbd smbd. > Starting openBSD Secure Shell Server: sshdPrivilege separation user sshd > does not exist Tampoco el usuario ssh, vaya, empieza a ser algo sospechoso... > . > Starting deferred execution scheduler: atd. > Starting periodic command scheduler: cron. > Starting Web Server: apacheapache: bad user name www-data failed > Hummmmm, ¿tampoco www-data? > Debian GNU/linux 3.0 srv2 tty1 > > srv2 login: > .... > He aquí que ningún usuario es reconocido (solo teníamos tres) > Y los tres usuarios que habías creado tampoco funcionan.... En principio el problema lo tienes bastante aislado ya, por la razón que sea tu máquina no puede leer el /etc/passwd ( ten en cuenta que se queja de que no reconoce ids (uids) ) o el /etc/shadow pero parte de las invocaciones que el sistema hace para arrancar servicios desde root como otros usuarios no requieren de validación de contraseña ( de hecho los usuarios de los aplicativos no suelen tener password e incluso para según que ni shell ) > Intento determinar qué paso para que dos servidores que están funcionando > hace tres meses sin problemas (como servidores de páginas Web con Apache) > dejan de andar sin motivo conocido por nosotros. Hummmmmmmmmm, ¿esos servidores ejecutaban un servidor web seguro ( https )? Ten en cuenta que el historial de seguridad de openssl de un tiempo a esta parte está lleno de fallos explotables muchos de ellos desde apache que comprometen totalmente la seguridad de un servidor con versiones vulnerables. ¿se ejecutaba diaríamente un apt-get update && apt-get upgrade y se tenían las lineas apropiadas que apuntaban a security.debian.org ? > Un dato: el server funcionaba de manera correcta. Se dio de alta un usuario > nuevo y se re-arranco el servidor: No anduvo mas. ¿Se arranco después de una caida o se reinció? Puede que sea un simple problema de consistencia del sistema de archivos? ¿Se copió convenientemente toda la información necesaria? Yo optaría por el clásico: rescbf24 root=/dev/sda2 init=/bin/bash Comprueba que el archivo de password está en su sitio, comprueba los permisos, e incluso arranca directamente desde el cd de rescate, carga el módulo de soporte scsi que necesites y ejecuta fsck por si el problema es simplemente ese. Desde ahí tienes acceso a todos los errrores que haya generado la máquina y demás, aprovecha también para comprobar que la máquina no tiene guarradas por ahí, los gusanos que atacaban apache por ssl dejaban scripts en /tmp, con lo que el reboot los habrá borrado, en cualquier caso si tienes dudas tienes dos opciones, o te dedicas a la práctica forense o reinstalas, pero recuerda que un sistema no actualizado es un sistema inseguro por definición independientemente de la seguridad de los procedimientos empleados para endurecerlo y demás, como consejo, a mi me quito bastantes dolores de cabeza cuando surgio el problema con los gusanos de ssl en apache, es bastante util montar /tmp en una partición independiente de / y eliminar los permisos de ejecución en él, te evitas ejecución de scripts y todos los posibles ataques basados en hard links contra nombre de archivos predecibles, y también una buena parte de los ataques al sistema de manuales ( man y sus comandos auxiliares ). un saludo Victor > > Si bien soy nuevo en linux (quizá demasiado) hace veinte años que estoy en > el tema (hasta ahora con servidores Novell) y creo que lo que nos pasó > puede relacionarse a virus/troyano/cracker o algo así. > Cierto es que ambos servidores no tenían instalados paquetes de seguridad > (no estaban 'endurecidos' como dicen ustedes en la lista) > Mas allá de todo me gustaría saber con que herramientas defenderme a priori > (endureciendo el equipo) y cuales son las opciones a posteroiori de un > problema ( que puede ser de seguridad / hardware, etc. ) > > Por último quisiera aclarar que sin darnos cuenta llegaron a la lista dos > mensajes con distinto asunto por un mismo problema porque mi socio y yo > consultamos cada uno por su cuenta (problemas de timming, pido disculpas) > > Espero haberte aclarado mi problema. > > Claudio Carramal > [EMAIL PROTECTED] > ----- Mensaje original ----- > De: "Matías nnss" <[EMAIL PROTECTED]> > Para: <debian-user-spanish@lists.debian.org> > Enviado: lunes 21 de abril de 2003 16:44 > Asunto: Re: bad user name www-data > > > Hola: > > Tengo algunas dudas con respecto a tu problema, ¿no tienes ningún > > tipo de acceso a tu máquina? ¿incluso probando el usar el CD de > > rescate de Debian (opción rescue root=/dev/hdXN o empezar como si > > fuera una instalación y luego ir a la segunda terminal del sistema > > de instalación y montar tu hdXN en mnt)? ¿instalastes algún programa que > > gestiona/maneja los usuarios ultimamente? > > Y por último, por favor no respondas a otros mensajes y luego le > > cambies el subject, los hilos quedan desordenados. Tu mail contenía > > esta línea (correspondiente a un mensaje que yo mismo postié hace un > > rato): > > References: <[EMAIL PROTECTED]> > > > > > > > > > > > > > > > > -- > > Atentamente, yo <Matías> > > No a la invación en Irak > > > > > > <cita quien="soporte"> > > > > > Estimados colegas: > > > > > > La semana pasada Tuvimos un problema por fallo de un servidor y no > > > pudimos acceder mas al equipo. > > > Encendimos un servidor 'muleto' que tenemos armado, copiamos los datos > > > y seguimos trabajando. > > > El día de hoy este equipo dejó de dar servicio (no hay falla de hard) y > > > al encenderlo no nos deja ingresar. > > > Uno de los ultimos mensajes que se llega a ver es 'bad user name > > > www-data' Ahora les pregunto > > > > > > ¿Hay alguna forma de grabar en un log los mensajes que saca al bootear? > > > (les recuerdo que no puedo acceder al disco. Debería poder grabarse a > > > diskette o algo así) > > > > > > Digo esto porque al no poder ver los errores anteriores no tenemos > > > forma de empezar a trabajar. Gracias > > > > > > Claudio Carramal > > > [EMAIL PROTECTED] > > > > > > > > > -- > > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > > with a subject of "unsubscribe". Trouble? Contact > > > [EMAIL PROTECTED] > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED] - -- - -- Abril Uno de los peores meses para andar metiendo al mundo en guerras absurdas El resto de meses del mismo tipo son: Enero, Febrero, Marzo, Mayo, Junio, Julio, Agosto, Septiembre, Octubre, Noviembre y Diciembre. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+pmHPEzqHF8R72ekRAu93AJ9nItPenwBzC0iVUNuPQt2AEEbunwCfdKbY WfRKV8IYNyXvFR+H127H7CU= =QxOZ -----END PGP SIGNATURE-----
