gr security komischer eintrag in logs

Rund um die Sicherheit des Systems und die Applikationen
lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

gr security komischer eintrag in logs

Post by lufthansen » 2003-04-19 01:18

Apr 18 21:54:28 <host> kernel: grsec: setresuid(ruid=-1/suid=-1/euid=0) by (sudo:4129) UID(33) EUID(1), parent (apache:29194) UID(33) EUID(33)
Apr 18 21:54:28 <host> kernel: grsec: setuid(0) by (sudo:4129) UID(33) EUID(0), parent (apache:29194) UID(33) EUID(33)
Apr 18 21:55:56 <host> kernel: grsec: setresuid(ruid=-1/suid=-1/euid=0) by (sudo:3190) UID(33) EUID(33), parent (apache:13493) UID(33) EUID(33)
Apr 18 21:55:56 <host> kernel: grsec: setregid(rgid=-1/egid=0) by (sudo:3190) UID(33) EUID(0), parent (apache:13493) UID(33) EUID(33)
Apr 18 21:55:56 <host> kernel: grsec: setresuid(ruid=-1/suid=-1/euid=0) by (sudo:3190) UID(33) EUID(1), parent (apache:13493) UID(33) EUID(33)
Apr 18 21:55:56 <host> kernel: grsec: setregid(rgid=-1/egid=0) by (sudo:3190) UID(33) EUID(0), parent (apache:13493) UID(33) EUID(33)
Apr 18 21:55:56 <host> kernel: grsec: setresuid(ruid=-1/suid=-1/euid=0) by (sudo:3190) UID(33) EUID(1), parent (apache:13493) UID(33) EUID(33)
das oben fand ich in den logs.
zu dem zeit punkt war ich gerade im webmail und dann ging nix mehr andere vhosts des apaches gingen aber weiterhin.
für mich sieht das so aus als hätte er probleme mit den rechten bei dem webmail client ....

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: gr security komischer eintrag in logs

Post by dodolin » 2003-04-19 01:52

Dein Apache will wohl per sudo root werden.
Soll er das können?

Wenn ja, dann erlaube es ihm (grsecurity Einstellungen).
Wenn nein, dann ist ja alles in Ordnung. :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: gr security komischer eintrag in logs

Post by captaincrunch » 2003-04-19 07:43

Schau dir doch mal die Doku zu GRSecurity an. Da werden diese und andere Themen eigentlich verdammt gut erklärt. Man sollte halt wissen, was das Zeugs auf dem Rechner treibt ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc