Kein Login mehr über SSH möglich --> Rescuesystem

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 09:44

Hi,

Wusste jetzt nicht genau wie ich es benennen soll, aber irgendwie war mein Server heute Offline und mein publickey wird nicht mehr Akzeptiert.

Jetzt bin ich im Rescuesystem und wollte das PAM wieder auf yes machen, damit ich wieder im Normalmodus mich als root einloggen kann.

Nur das Problem ist im Rescuesystem gibt es bei mir kein Editor .. weder vi noch joe noch sonstwas.

wie kann ich jetzt die sshd_config abändern, das auth PAM auf yes steht? Wie gesagt rescue modus bin ich und pladden sind gemonted.

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 09:46

blnsnoopy26 wrote: wie kann ich jetzt die sshd_config abändern, das auth PAM auf yes steht? Wie gesagt rescue modus bin ich und pladden sind gemonted.

Code: Select all

man sed
Oder eine statisch gelinkte Busybox runterladen und deren "vi" nutzen...

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 09:50

Die manual Pages scheinen auch ned zu funzen *lol*
was'n das für ein Rescue system....

habs mal mit

echo "UsePAM yes" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart

versucht. hatte ich hier aus nem anderen Thread.

system: Debian Sarge
Aber der wirft mich trotzdem noch raus :-(

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 09:57

blnsnoopy26 wrote:Die manual Pages scheinen auch ned zu funzen *lol*
was'n das für ein Rescue system....

habs mal mit

echo "UsePAM yes" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart

versucht. hatte ich hier aus nem anderen Thread.

system: Debian Sarge
Aber der wirft mich trotzdem noch raus :-(
Ich bau in solchen Fällen einen Dropbear auf 2222 mitsamt eigenem Startscript auf den Server. Darüber komme ich rein, kann den eigentlichen SSHD flicken und auch auch ohne ständiges hin- und herbooten probieren.

Ich stelle demnächst mal eine Sammlung statisch gelinkter Tools und Startscripte für solche Fälle zusammen...

EDIT: Aber chroot geht doch: /, /proc, /dev mounten, chrooten, Port ändern, PAM ändern, SSHD starten, ausprobieren...

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:02

Sicher funzt das Rescue system, aber ohne Editor ist das schon mist.
wget kann ich bneutzen.

Wenn du ein editor hast den ich mir ziehen kann, dann kann ich wenigstens die configs richtig bearbeiten.

Das hier macht er bei mir nicht :-(

Code: Select all

chroot /mnt/hd /usr/bin/env -i HOME=/root TERM=$TERM /bin/bash --login
viele commands funzen auch nicht - das ist ja das dumme.
Last edited by blnsnoopy26 on 2006-10-31 10:07, edited 1 time in total.

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 10:07

blnsnoopy26 wrote:Sicher funzt das Rescue system, aber ohne Editor ist das schon mist.
wget kann ich bneutzen.

Wenn du ein editor hast den ich mir ziehen kann, dann kann ich wenigstens die configs richtig bearbeiten.

Das hier macht er bei mir nicht :-(

Code: Select all

chroot /mnt/hd /usr/bin/env -i HOME=/root TERM=$TERM /bin/bash --login
Ist /dev und /proc gemountet?

mount -o bind /dev /mnt/hd/dev
mount -t proc none /mnt/hd/proc

Und dann direkt:

chroot /mnt/hd /bin/bash

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 10:10

blnsnoopy26 wrote:
viele commands funzen auch nicht - das ist ja das dumme.
Im chroot oder im Rescue?

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:13

Hi,

Ich habe folgendes gemacht:

Code: Select all

mkdir /mnt/hd
mount /dev/sda3 /mnt/hd
mount /dev/sda1 /mnt/hd/boot

mount -o bind /dev /mnt/hd/dev
mount -t proc none /mnt/hd/proc

Code: Select all

d9975e91 ~ # chroot /mnt/hd /bin/bash
cannot run command `/bin/bash': Exec format error
Da geht rein garnix im rescue system ... boa ist das kacke

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:20

Hi,

Ok ich weiter .. anscheinend geht der Editor nano und kann damit jetzt meine Config bearbeiten bzw. habe es getan - die sshd_config.

Jetzt muss ich nur rausfinden wie man mit dem Editor Speichert.

edit:

Ok habe es PAM auf yes und PermitRootlogin auf yes gestellt in der config und ich hoffe ich komme jetzt rein.
Last edited by blnsnoopy26 on 2006-10-31 10:24, edited 1 time in total.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by daemotron » 2006-10-31 10:24

blnsnoopy26 wrote:Jetzt muss ich nur rausfinden wie man mit dem Editor Speichert.
Ctrl + w
oder Ctrl + x (speichern + exit) :wink:
Btw. das stinkt schon fast danach, als sei das bash-Binary zerschossen...

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:28

Im Moment labert der was von

Code: Select all

Using username "root".
System bootup in progress - please wait
naja mal sehn.
Hoffe mal nicht das da irgendwas zerschossen ist.

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 10:29

jfreund wrote:
Btw. das stinkt schon fast danach, als sei das bash-Binary zerschossen...
Und/oder kaputte glibc...

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:31

Aber wie kann das sein im Rescue system, falls es dem so ist?
Das soll doch mein Rettungsanker sein.

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 10:33

blnsnoopy26 wrote:Aber wie kann das sein im Rescue system, falls es dem so ist?
Das soll doch mein Rettungsanker sein.
Naja, beim chroot wird die Bash des havarierten Systems ausgeführt...

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:41

Hi,

Ok konnte mich via Normalsystem wieder einloggen - boa schweiß von der Stirn fällt.

Jetzt muss ich erstmal rausfinden, warum mein ssh2 publickey nicht mehr akzeptiert wurde. Meine alten geänderten Rootpasswörter haben aber noch alle funktioniert und kann am system rumwerkeln.

war auf jedenfall eine Erfahrung für mich.
Bisher hatte ich nur mit SuSE zu tun in sachen rescue und hab da jetzt wieder was gelernt.

Trotzdem danke für die Unterstützung :)

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 10:48

Hi,

lol is ja mal mega WTF.
Mein public_key wird noch akzeptiert hab es grad mit einem 2 puttyfenster probiert.

Werd jedenfalls mal das ganze system checken und alle Logs ob irgendwo was auffälliges zu sehn ist.

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 11:08

Hi,

Vielleicht kann ja jemand die logs deuten, ob da irgendwas auffälliges zu sehn ist.

dmesg

Code: Select all

Bootdata ok (command line is root=/dev/sda3 ro console=tty0 )
Linux version 2.6.17.11-grsec (root@d9975e91) (gcc version 3.3.5 (Debian 1:3.3.5-13)) #1 Fri Sep 22 17:42:25 CEST 2006
BIOS-provided physical RAM map:
 BIOS-e820: 0000000000000000 - 000000000009f800 (usable)
 BIOS-e820: 000000000009f800 - 00000000000a0000 (reserved)
 BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
 BIOS-e820: 0000000000100000 - 000000007dee0000 (usable)
 BIOS-e820: 000000007dee0000 - 000000007dee3000 (ACPI NVS)
 BIOS-e820: 000000007dee3000 - 000000007def0000 (ACPI data)
 BIOS-e820: 000000007def0000 - 000000007df00000 (reserved)
 BIOS-e820: 00000000fec00000 - 00000000fec01000 (reserved)
 BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved)
 BIOS-e820: 00000000ffff0000 - 0000000100000000 (reserved)
DMI 2.2 present.
ACPI: RSDP (v000 AWARD                                 ) @ 0x00000000000f7da0
ACPI: RSDT (v001 AWARD  AWRDACPI 0x42302e31 AWRD 0x00000000) @ 0x000000007dee3040
ACPI: FADT (v001 AWARD  AWRDACPI 0x42302e31 AWRD 0x00000000) @ 0x000000007dee30c0
ACPI: MADT (v001 AWARD  AWRDACPI 0x42302e31 AWRD 0x00000000) @ 0x000000007dee6dc0
ACPI: DSDT (v001 AWARD  AWRDACPI 0x00001000 MSFT 0x0100000e) @ 0x0000000000000000
On node 0 totalpages: 507638
  DMA zone: 2922 pages, LIFO batch:0
  DMA32 zone: 504716 pages, LIFO batch:31
ACPI: PM-Timer IO Port: 0x1008
ACPI: Local APIC address 0xfee00000
ACPI: LAPIC (acpi_id[0x00] lapic_id[0x00] enabled)
Processor #0 15:12 APIC version 16
ACPI: LAPIC_NMI (acpi_id[0x00] high edge lint[0x1])
ACPI: IOAPIC (id[0x02] address[0xfec00000] gsi_base[0])
IOAPIC[0]: apic_id 2, version 20, address 0xfec00000, GSI 0-23
ACPI: INT_SRC_OVR (bus 0 bus_irq 0 global_irq 2 dfl dfl)
ACPI: INT_SRC_OVR (bus 0 bus_irq 9 global_irq 9 dfl dfl)
ACPI: IRQ0 used by override.
ACPI: IRQ2 used by override.
ACPI: IRQ9 used by override.
Setting APIC routing to flat
Using ACPI (MADT) for SMP configuration information
Allocating PCI resources starting at 80000000 (gap: 7df00000:80d00000)
Checking aperture...
CPU 0: aperture @ d8000000 size 128 MB
Built 1 zonelists
Kernel command line: root=/dev/sda3 ro console=tty0
Initializing CPU#0
PID hash table entries: 4096 (order: 12, 32768 bytes)
time.c: Using 3.579545 MHz WALL PM GTOD PIT/TSC timer.
time.c: Detected 1599.575 MHz processor.
Console: colour VGA+ 80x25
Dentry cache hash table entries: 262144 (order: 9, 2097152 bytes)
Inode-cache hash table entries: 131072 (order: 8, 1048576 bytes)
Memory: 2023052k/2063232k available (1670k kernel code, 39464k reserved, 632k data, 152k init)
Calibrating delay using timer specific routine.. 3200.70 BogoMIPS (lpj=6401408)
Mount-cache hash table entries: 256
CPU: L1 I Cache: 64K (64 bytes/line), D cache 64K (64 bytes/line)
CPU: L2 Cache: 256K (64 bytes/line)
CPU: AMD Sempron(tm) Processor 2800+ stepping 02
Using local APIC timer interrupts.
result 12496691
Detected 12.496 MHz APIC timer.
testing NMI watchdog ... OK.
checking if image is initramfs...it isn't (bad gzip magic numbers); looks like an initrd
Freeing initrd memory: 4004k freed
NET: Registered protocol family 16
ACPI: bus type pci registered
PCI: Using configuration type 1
ACPI: Subsystem revision 20060127
ACPI: Interpreter enabled
ACPI: Using IOAPIC for interrupt routing
ACPI: PCI Root Bridge [PCI0] (0000:00)
PCI: Probing PCI hardware (bus 00)
ACPI: Assume root bridge [_SB_.PCI0] bus is 0
Boot video device is 0000:01:00.0
ACPI: PCI Interrupt Routing Table [_SB_.PCI0._PRT]
ACPI: PCI Interrupt Link [LNKA] (IRQs 3 4 5 6 7 9 10 11 *12 14 15)
ACPI: PCI Interrupt Link [LNKB] (IRQs 3 4 5 6 7 9 10 *11 12 14 15)
ACPI: PCI Interrupt Link [LNKC] (IRQs 3 4 5 6 7 9 10 11 12 14 15) *0, disabled.
ACPI: PCI Interrupt Link [LNKD] (IRQs 3 4 5 6 7 9 *10 11 12 14 15)
ACPI: PCI Interrupt Link [LNKE] (IRQs 3 4 5 *6 7 9 10 11 12 14 15)
ACPI: PCI Interrupt Link [LNKF] (IRQs 3 4 5 6 7 *9 10 11 12 14 15)
ACPI: PCI Interrupt Link [LNKG] (IRQs 3 4 5 6 *7 9 10 11 12 14 15)
ACPI: PCI Interrupt Link [LNKH] (IRQs 3 4 *5 6 7 9 10 11 12 14 15)
usbcore: registered new driver usbfs
usbcore: registered new driver hub
PCI: Using ACPI for IRQ routing
PCI: If a device doesn't work, try "pci=routeirq".  If it helps, post a report
agpgart: Detected AGP bridge 0
agpgart: AGP aperture is 128M @ 0xd8000000
PCI-DMA: Disabling IOMMU.
PCI: Ignore bogus resource 6 [0:0] of 0000:01:00.0
PCI: Bridge: 0000:00:01.0
  IO window: d000-dfff
  MEM window: e8000000-e80fffff
  PREFETCH window: e0000000-e7ffffff
NET: Registered protocol family 2
IP route cache hash table entries: 65536 (order: 7, 524288 bytes)
TCP established hash table entries: 262144 (order: 9, 2097152 bytes)
TCP bind hash table entries: 65536 (order: 7, 524288 bytes)
TCP: Hash tables configured (established 262144 bind 65536)
TCP reno registered
IA32 emulation $Id: sys_ia32.c,v 1.32 2002/03/24 13:02:28 ak Exp $
VFS: Disk quotas dquot_6.5.1
Dquot-cache hash table entries: 512 (order 0, 4096 bytes)
Initializing Cryptographic API
io scheduler noop registered
io scheduler anticipatory registered (default)
io scheduler deadline registered
io scheduler cfq registered
Linux agpgart interface v0.101 (c) Dave Jones
[drm] Initialized drm 1.0.1 20051102
Serial: 8250/16550 driver $Revision: 1.90 $ 4 ports, IRQ sharing enabled
serial8250: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
serial8250: ttyS1 at I/O 0x2f8 (irq = 3) is a 16550A
RAMDISK driver initialized: 16 RAM disks of 65536K size 1024 blocksize
usbmon: debugfs is not available
serio: i8042 AUX port at 0x60,0x64 irq 12
serio: i8042 KBD port at 0x60,0x64 irq 1
TCP bic registered
NET: Registered protocol family 8
NET: Registered protocol family 20
ACPI wakeup devices:
PCI0 USB0 USB1 USB2 USB3 MAC0 AMR0 UAR1 UAR2
ACPI: (supports S0 S3 S4 S5)
RAMDISK: cramfs filesystem found at block 0
RAMDISK: Loading 4004KiB [1 disk] into ram disk... |/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-|/-done.
VFS: Mounted root (cramfs filesystem) readonly.
Freeing unused kernel memory: 152k freed
NET: Registered protocol family 1
SCSI subsystem initialized
libata version 1.20 loaded.
sata_sis 0000:00:05.0: version 0.5
GSI 16 sharing vector 0xA9 and IRQ 16
ACPI: PCI Interrupt 0000:00:05.0[A] -> GSI 17 (level, low) -> IRQ 16
sata_sis 0000:00:05.0: Detected SiS 180/181 chipset in SATA mode
ata1: SATA max UDMA/133 cmd 0xE400 ctl 0xE502 bmdma 0xE800 irq 16
ata2: SATA max UDMA/133 cmd 0xE600 ctl 0xE702 bmdma 0xE808 irq 16
ata1: SATA link up 1.5 Gbps (SStatus 113)
ata1: dev 0 cfg 49:2f00 82:746b 83:7f01 84:4023 85:7468 86:3c01 87:4023 88:40ff
ata1: dev 0 ATA-7, max UDMA7, 156301488 sectors: LBA48
ata1: dev 0 configured for UDMA/133
scsi0 : sata_sis
ata2: SATA link down (SStatus 0)
scsi1 : sata_sis
  Vendor: ATA       Model: SAMSUNG HD080HJ   Rev: WT10
  Type:   Direct-Access                      ANSI SCSI revision: 05
ACPI: Fan [FAN] (on)
ACPI: Thermal Zone [THRM] (42 C)
ohci_hcd: 2005 April 22 USB 1.1 'Open' Host Controller (OHCI) Driver (PCI)
usbcore: registered new driver usbkbd
drivers/usb/input/usbkbd.c: :USB HID Boot Protocol keyboard driver
usbcore: registered new driver usbserial
drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
usbcore: registered new driver usbserial_generic
drivers/usb/serial/usb-serial.c: USB Serial Driver core
vga16fb: initializing
vga16fb: mapped to 0xffff8100000a0000
fb0: VGA16 VGA frame buffer device
Console: switching to colour frame buffer device 80x30
Uniform Multi-Platform E-IDE driver Revision: 7.00alpha2
ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx
Initializing USB Mass Storage driver...
usbcore: registered new driver usb-storage
USB Mass Storage support registered.
Probing IDE interface ide0...
Probing IDE interface ide1...
SCSI device sda: 156301488 512-byte hdwr sectors (80026 MB)
sda: Write Protect is off
sda: Mode Sense: 00 3a 00 00
SCSI device sda: drive cache: write back
SCSI device sda: 156301488 512-byte hdwr sectors (80026 MB)
sda: Write Protect is off
sda: Mode Sense: 00 3a 00 00
SCSI device sda: drive cache: write back
 sda: sda1 sda2 sda3
sd 0:0:0:0: Attached scsi disk sda
sis900.c: v1.08.09 Sep. 19 2005
GSI 17 sharing vector 0xB1 and IRQ 17
ACPI: PCI Interrupt 0000:00:04.0[A] -> GSI 19 (level, low) -> IRQ 17
0000:00:04.0: Realtek RTL8201 PHY transceiver found at address 1.
0000:00:04.0: Using transceiver found at address 1 as default
eth0: SiS 900 PCI Fast Ethernet at 0xe000, IRQ 17, 00:15:58:0f:99:29.
Generic RTC Driver v1.07
pci_hotplug: PCI Hot Plug PCI Core version: 0.5
USB Universal Host Controller Interface driver v3.0
EXT3-fs: INFO: recovery required on readonly filesystem.
EXT3-fs: write access will be enabled during recovery.
kjournald starting.  Commit interval 5 seconds
EXT3-fs: sda3: orphan cleanup on readonly fs
ext3_orphan_cleanup: deleting unreferenced inode 8437764
ext3_orphan_cleanup: deleting unreferenced inode 8437763
ext3_orphan_cleanup: deleting unreferenced inode 8437762
EXT3-fs: sda3: 3 orphan inodes deleted
EXT3-fs: recovery complete.
EXT3-fs: mounted filesystem with ordered data mode.
Adding 506036k swap on /dev/sda2.  Priority:-1 extents:1 across:506036k
EXT3 FS on sda3, internal journal
shpchp: Standard Hot Plug PCI Controller Driver version: 0.4
NET: Registered protocol family 17
eth0: Media Link On 100mbps full-duplex
messages:

Code: Select all

Oct 31 10:22:04 d9975e91 kernel: klogd 1.4.1#17, log source = /proc/kmsg started.
Oct 31 10:22:04 d9975e91 kernel: Inspecting /boot/System.map-2.6.17.11-grsec
Oct 31 10:22:04 d9975e91 kernel: Loaded 24212 symbols from /boot/System.map-2.6.17.11-grsec.
Oct 31 10:22:04 d9975e91 kernel: Symbols match kernel version 2.6.17.
Oct 31 10:22:04 d9975e91 kernel: No module symbols loaded - kernel modules not enabled.
Oct 31 10:22:04 d9975e91 kernel: Bootdata ok (command line is root=/dev/sda3 ro console=tty0 )
Oct 31 10:22:04 d9975e91 kernel: Linux version 2.6.17.11-grsec (root@d9975e91) (gcc version 3.3.5 (Debian 1:3.3.5-13)) #1 Fri Sep 22 17:42:25 CEST 2006
Oct 31 10:22:04 d9975e91 kernel: BIOS-provided physical RAM map:
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 0000000000000000 - 000000000009f800 (usable)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 000000000009f800 - 00000000000a0000 (reserved)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 0000000000100000 - 000000007dee0000 (usable)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 000000007dee0000 - 000000007dee3000 (ACPI NVS)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 000000007dee3000 - 000000007def0000 (ACPI data)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 000000007def0000 - 000000007df00000 (reserved)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 00000000fec00000 - 00000000fec01000 (reserved)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved)
Oct 31 10:22:04 d9975e91 kernel:  BIOS-e820: 00000000ffff0000 - 0000000100000000 (reserved)
Oct 31 10:22:04 d9975e91 kernel: DMI 2.2 present.
Oct 31 10:22:04 d9975e91 kernel: ACPI: PM-Timer IO Port: 0x1008
Oct 31 10:22:04 d9975e91 kernel: ACPI: LAPIC (acpi_id[0x00] lapic_id[0x00] enabled)
Oct 31 10:22:04 d9975e91 kernel: Processor #0 15:12 APIC version 16
Oct 31 10:22:04 d9975e91 kernel: ACPI: LAPIC_NMI (acpi_id[0x00] high edge lint[0x1])
Oct 31 10:22:04 d9975e91 kernel: ACPI: IOAPIC (id[0x02] address[0xfec00000] gsi_base[0])
Oct 31 10:22:04 d9975e91 kernel: IOAPIC[0]: apic_id 2, version 20, address 0xfec00000, GSI 0-23
Oct 31 10:22:04 d9975e91 kernel: ACPI: INT_SRC_OVR (bus 0 bus_irq 0 global_irq 2 dfl dfl)
Oct 31 10:22:04 d9975e91 kernel: ACPI: INT_SRC_OVR (bus 0 bus_irq 9 global_irq 9 dfl dfl)
Oct 31 10:22:04 d9975e91 kernel: Setting APIC routing to flat
Oct 31 10:22:04 d9975e91 kernel: Using ACPI (MADT) for SMP configuration information
Oct 31 10:22:04 d9975e91 kernel: Allocating PCI resources starting at 80000000 (gap: 7df00000:80d00000)
Oct 31 10:22:04 d9975e91 kernel: Checking aperture...
Oct 31 10:22:04 d9975e91 kernel: CPU 0: aperture @ d8000000 size 128 MB
Oct 31 10:22:04 d9975e91 kernel: Built 1 zonelists
Oct 31 10:22:04 d9975e91 kernel: Kernel command line: root=/dev/sda3 ro console=tty0
Oct 31 10:22:04 d9975e91 kernel: Initializing CPU#0
Oct 31 10:22:04 d9975e91 kernel: PID hash table entries: 4096 (order: 12, 32768 bytes)
Oct 31 10:22:04 d9975e91 kernel: time.c: Using 3.579545 MHz WALL PM GTOD PIT/TSC timer.
Oct 31 10:22:04 d9975e91 kernel: time.c: Detected 1599.571 MHz processor.
Oct 31 10:22:04 d9975e91 kernel: Console: colour VGA+ 80x25
Oct 31 10:22:04 d9975e91 kernel: Dentry cache hash table entries: 262144 (order: 9, 2097152 bytes)
Oct 31 10:22:04 d9975e91 kernel: Inode-cache hash table entries: 131072 (order: 8, 1048576 bytes)
Oct 31 10:22:04 d9975e91 kernel: Memory: 2023052k/2063232k available (1670k kernel code, 39464k reserved, 632k data, 152k init)
Oct 31 10:22:04 d9975e91 kernel: Calibrating delay using timer specific routine.. 3200.72 BogoMIPS (lpj=6401441)
Oct 31 10:22:04 d9975e91 kernel: Mount-cache hash table entries: 256
Oct 31 10:22:04 d9975e91 kernel: CPU: L1 I Cache: 64K (64 bytes/line), D cache 64K (64 bytes/line)
Oct 31 10:22:04 d9975e91 kernel: CPU: L2 Cache: 256K (64 bytes/line)
Oct 31 10:22:04 d9975e91 kernel: CPU: AMD Sempron(tm) Processor 2800+ stepping 02
Oct 31 10:22:04 d9975e91 kernel: Using local APIC timer interrupts.
Oct 31 10:22:04 d9975e91 kernel: result 12496679
Oct 31 10:22:04 d9975e91 kernel: Detected 12.496 MHz APIC timer.
Oct 31 10:22:04 d9975e91 kernel: testing NMI watchdog ... OK.
Oct 31 10:22:04 d9975e91 kernel: checking if image is initramfs...it isn't (bad gzip magic numbers); looks like an initrd
Oct 31 10:22:04 d9975e91 kernel: Freeing initrd memory: 4004k freed
Oct 31 10:22:04 d9975e91 kernel: NET: Registered protocol family 16
Oct 31 10:22:04 d9975e91 kernel: ACPI: bus type pci registered
Oct 31 10:22:04 d9975e91 kernel: PCI: Using configuration type 1
Oct 31 10:22:04 d9975e91 kernel: ACPI: Subsystem revision 20060127
Oct 31 10:22:04 d9975e91 kernel: ACPI: Interpreter enabled
Oct 31 10:22:04 d9975e91 kernel: ACPI: Using IOAPIC for interrupt routing
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Root Bridge [PCI0] (0000:00)
Oct 31 10:22:04 d9975e91 kernel: ACPI: Assume root bridge [_SB_.PCI0] bus is 0
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKA] (IRQs 3 4 5 6 7 9 10 11 *12 14 15)
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKB] (IRQs 3 4 5 6 7 9 10 *11 12 14 15)
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKC] (IRQs 3 4 5 6 7 9 10 11 12 14 15) *0, disabled.
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKD] (IRQs 3 4 5 6 7 9 *10 11 12 14 15)
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKE] (IRQs 3 4 5 *6 7 9 10 11 12 14 15)
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKF] (IRQs 3 4 5 6 7 *9 10 11 12 14 15)
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKG] (IRQs 3 4 5 6 *7 9 10 11 12 14 15)
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKH] (IRQs 3 4 *5 6 7 9 10 11 12 14 15)
Oct 31 10:22:04 d9975e91 kernel: usbcore: registered new driver usbfs
Oct 31 10:22:04 d9975e91 kernel: usbcore: registered new driver hub
Oct 31 10:22:04 d9975e91 kernel: PCI: Using ACPI for IRQ routing
Oct 31 10:22:04 d9975e91 kernel: PCI: If a device doesn't work, try "pci=routeirq".  If it helps, post a report
Oct 31 10:22:04 d9975e91 kernel: agpgart: Detected AGP bridge 0
Oct 31 10:22:04 d9975e91 kernel: agpgart: AGP aperture is 128M @ 0xd8000000
Oct 31 10:22:04 d9975e91 kernel: PCI-DMA: Disabling IOMMU.
Oct 31 10:22:04 d9975e91 kernel: PCI: Ignore bogus resource 6 [0:0] of 0000:01:00.0
Oct 31 10:22:04 d9975e91 kernel: PCI: Bridge: 0000:00:01.0
Oct 31 10:22:04 d9975e91 kernel:   IO window: d000-dfff
Oct 31 10:22:04 d9975e91 kernel:   MEM window: e8000000-e80fffff
Oct 31 10:22:04 d9975e91 kernel:   PREFETCH window: e0000000-e7ffffff
Oct 31 10:22:04 d9975e91 kernel: NET: Registered protocol family 2
Oct 31 10:22:04 d9975e91 kernel: IP route cache hash table entries: 65536 (order: 7, 524288 bytes)
Oct 31 10:22:04 d9975e91 kernel: TCP established hash table entries: 262144 (order: 9, 2097152 bytes)
Oct 31 10:22:04 d9975e91 kernel: TCP bind hash table entries: 65536 (order: 7, 524288 bytes)
Oct 31 10:22:04 d9975e91 kernel: TCP: Hash tables configured (established 262144 bind 65536)
Oct 31 10:22:04 d9975e91 kernel: TCP reno registered
Oct 31 10:22:04 d9975e91 kernel: IA32 emulation $Id: sys_ia32.c,v 1.32 2002/03/24 13:02:28 ak Exp $
Oct 31 10:22:04 d9975e91 kernel: VFS: Disk quotas dquot_6.5.1
Oct 31 10:22:04 d9975e91 kernel: Dquot-cache hash table entries: 512 (order 0, 4096 bytes)
Oct 31 10:22:04 d9975e91 kernel: Initializing Cryptographic API
Oct 31 10:22:04 d9975e91 kernel: io scheduler noop registered
Oct 31 10:22:04 d9975e91 kernel: io scheduler anticipatory registered (default)
Oct 31 10:22:04 d9975e91 kernel: io scheduler deadline registered
Oct 31 10:22:04 d9975e91 kernel: io scheduler cfq registered
Oct 31 10:22:04 d9975e91 kernel: Linux agpgart interface v0.101 (c) Dave Jones
Oct 31 10:22:04 d9975e91 kernel: [drm] Initialized drm 1.0.1 20051102
Oct 31 10:22:04 d9975e91 kernel: Serial: 8250/16550 driver $Revision: 1.90 $ 4 ports, IRQ sharing enabled
Oct 31 10:22:04 d9975e91 kernel: serial8250: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
Oct 31 10:22:04 d9975e91 kernel: serial8250: ttyS1 at I/O 0x2f8 (irq = 3) is a 16550A
Oct 31 10:22:04 d9975e91 kernel: RAMDISK driver initialized: 16 RAM disks of 65536K size 1024 blocksize
Oct 31 10:22:04 d9975e91 kernel: usbmon: debugfs is not available
Oct 31 10:22:04 d9975e91 kernel: serio: i8042 AUX port at 0x60,0x64 irq 12
Oct 31 10:22:04 d9975e91 kernel: serio: i8042 KBD port at 0x60,0x64 irq 1
Oct 31 10:22:04 d9975e91 kernel: TCP bic registered
Oct 31 10:22:04 d9975e91 kernel: NET: Registered protocol family 8
Oct 31 10:22:04 d9975e91 kernel: NET: Registered protocol family 20
Oct 31 10:22:04 d9975e91 kernel: ACPI wakeup devices:
Oct 31 10:22:04 d9975e91 kernel: PCI0 USB0 USB1 USB2 USB3 MAC0 AMR0 UAR1 UAR2
Oct 31 10:22:04 d9975e91 kernel: ACPI: (supports S0 S3 S4 S5)
Oct 31 10:22:04 d9975e91 kernel: RAMDISK: cramfs filesystem found at block 0
Oct 31 10:22:04 d9975e91 kernel: RAMDISK: Loading 4004KiB [1 disk] into ram disk... |^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^Hdone.
Oct 31 10:22:04 d9975e91 kernel: VFS: Mounted root (cramfs filesystem) readonly.
Oct 31 10:22:04 d9975e91 kernel: Freeing unused kernel memory: 152k freed
Oct 31 10:22:04 d9975e91 kernel: NET: Registered protocol family 1
Oct 31 10:22:04 d9975e91 kernel: SCSI subsystem initialized
Oct 31 10:22:04 d9975e91 kernel: sata_sis 0000:00:05.0: version 0.5
Oct 31 10:22:04 d9975e91 kernel: GSI 16 sharing vector 0xA9 and IRQ 16
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt 0000:00:05.0[A] -> GSI 17 (level, low) -> IRQ 16
Oct 31 10:22:04 d9975e91 kernel: sata_sis 0000:00:05.0: Detected SiS 180/181 chipset in SATA mode
Oct 31 10:22:04 d9975e91 kernel: ata1: SATA max UDMA/133 cmd 0xE400 ctl 0xE502 bmdma 0xE800 irq 16
Oct 31 10:22:04 d9975e91 kernel: ata2: SATA max UDMA/133 cmd 0xE600 ctl 0xE702 bmdma 0xE808 irq 16
Oct 31 10:22:04 d9975e91 kernel: ata1: SATA link up 1.5 Gbps (SStatus 113)
Oct 31 10:22:04 d9975e91 kernel: ata1: dev 0 ATA-7, max UDMA7, 156301488 sectors: LBA48
Oct 31 10:22:04 d9975e91 kernel: ata1: dev 0 configured for UDMA/133
Oct 31 10:22:04 d9975e91 kernel: scsi0 : sata_sis
Oct 31 10:22:04 d9975e91 kernel: ata2: SATA link down (SStatus 0)
Oct 31 10:22:04 d9975e91 kernel: scsi1 : sata_sis
Oct 31 10:22:04 d9975e91 kernel:   Vendor: ATA       Model: SAMSUNG HD080HJ   Rev: WT10
Oct 31 10:22:04 d9975e91 kernel:   Type:   Direct-Access                      ANSI SCSI revision: 05
Oct 31 10:22:04 d9975e91 kernel: ACPI: Fan [FAN] (on)
Oct 31 10:22:04 d9975e91 kernel: ACPI: Thermal Zone [THRM] (41 C)
Oct 31 10:22:04 d9975e91 kernel: usbcore: registered new driver usbkbd
Oct 31 10:22:04 d9975e91 kernel: drivers/usb/input/usbkbd.c: :USB HID Boot Protocol keyboard driver
Oct 31 10:22:04 d9975e91 kernel: usbcore: registered new driver usbserial
Oct 31 10:22:04 d9975e91 kernel: drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Oct 31 10:22:04 d9975e91 kernel: usbcore: registered new driver usbserial_generic
Oct 31 10:22:04 d9975e91 kernel: drivers/usb/serial/usb-serial.c: USB Serial Driver core
Oct 31 10:22:04 d9975e91 kernel: vga16fb: mapped to 0xffff8100000a0000
Oct 31 10:22:04 d9975e91 kernel: fb0: VGA16 VGA frame buffer device
Oct 31 10:22:04 d9975e91 kernel: Console: switching to colour frame buffer device 80x30
Oct 31 10:22:04 d9975e91 kernel: Uniform Multi-Platform E-IDE driver Revision: 7.00alpha2
Oct 31 10:22:04 d9975e91 kernel: ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx
Oct 31 10:22:04 d9975e91 kernel: Initializing USB Mass Storage driver...
Oct 31 10:22:04 d9975e91 kernel: usbcore: registered new driver usb-storage
Oct 31 10:22:04 d9975e91 kernel: USB Mass Storage support registered.
Oct 31 10:22:04 d9975e91 kernel: SCSI device sda: 156301488 512-byte hdwr sectors (80026 MB)
Oct 31 10:22:04 d9975e91 kernel: sda: Write Protect is off
Oct 31 10:22:04 d9975e91 kernel: SCSI device sda: drive cache: write back
Oct 31 10:22:04 d9975e91 kernel: SCSI device sda: 156301488 512-byte hdwr sectors (80026 MB)
Oct 31 10:22:04 d9975e91 kernel: sda: Write Protect is off
Oct 31 10:22:04 d9975e91 kernel: SCSI device sda: drive cache: write back
Oct 31 10:22:04 d9975e91 kernel:  sda: sda1 sda2 sda3
Oct 31 10:22:04 d9975e91 kernel: sd 0:0:0:0: Attached scsi disk sda
Oct 31 10:22:04 d9975e91 kernel: sis900.c: v1.08.09 Sep. 19 2005
Oct 31 10:22:04 d9975e91 kernel: GSI 17 sharing vector 0xB1 and IRQ 17
Oct 31 10:22:04 d9975e91 kernel: ACPI: PCI Interrupt 0000:00:04.0[A] -> GSI 19 (level, low) -> IRQ 17
Oct 31 10:22:04 d9975e91 kernel: 0000:00:04.0: Realtek RTL8201 PHY transceiver found at address 1.
Oct 31 10:22:04 d9975e91 kernel: 0000:00:04.0: Using transceiver found at address 1 as default
Oct 31 10:22:04 d9975e91 kernel: eth0: SiS 900 PCI Fast Ethernet at 0xe000, IRQ 17, 00:15:58:0f:99:29.
Oct 31 10:22:04 d9975e91 kernel: Generic RTC Driver v1.07
Oct 31 10:22:04 d9975e91 kernel: pci_hotplug: PCI Hot Plug PCI Core version: 0.5
Oct 31 10:22:04 d9975e91 kernel: USB Universal Host Controller Interface driver v3.0
Oct 31 10:22:04 d9975e91 kernel: EXT3-fs: INFO: recovery required on readonly filesystem.
Oct 31 10:22:04 d9975e91 kernel: EXT3-fs: write access will be enabled during recovery.
Oct 31 10:22:04 d9975e91 kernel: kjournald starting.  Commit interval 5 seconds
Oct 31 10:22:04 d9975e91 kernel: EXT3-fs: recovery complete.
Oct 31 10:22:04 d9975e91 kernel: EXT3-fs: mounted filesystem with ordered data mode.
Oct 31 10:22:04 d9975e91 kernel: Adding 506036k swap on /dev/sda2.  Priority:-1 extents:1 across:506036k
Oct 31 10:22:04 d9975e91 kernel: EXT3 FS on sda3, internal journal
Oct 31 10:22:04 d9975e91 kernel: shpchp: Standard Hot Plug PCI Controller Driver version: 0.4
Oct 31 10:22:04 d9975e91 kernel: NET: Registered protocol family 17
Oct 31 10:22:04 d9975e91 kernel: eth0: Media Link On 100mbps full-duplex
Oct 31 10:22:05 d9975e91 kernel: NET: Registered protocol family 10
Oct 31 10:22:05 d9975e91 kernel: lo: Disabled Privacy Extensions
Oct 31 10:22:05 d9975e91 kernel: IPv6 over IPv4 tunneling driver
Oct 31 10:22:06 d9975e91 lpd[2130]: restarted
Oct 31 10:34:39 d9975e91 syslogd 1.4.1#17: restart.
Oct 31 10:34:39 d9975e91 kernel: klogd 1.4.1#17, log source = /proc/kmsg started.
Oct 31 10:34:39 d9975e91 kernel: Inspecting /boot/System.map-2.6.17.11-grsec
Oct 31 10:34:39 d9975e91 kernel: Loaded 24212 symbols from /boot/System.map-2.6.17.11-grsec.
Oct 31 10:34:39 d9975e91 kernel: Symbols match kernel version 2.6.17.
Oct 31 10:34:39 d9975e91 kernel: No module symbols loaded - kernel modules not enabled.
Oct 31 10:34:39 d9975e91 kernel: Bootdata ok (command line is root=/dev/sda3 ro console=tty0 )
Oct 31 10:34:39 d9975e91 kernel: Linux version 2.6.17.11-grsec (root@d9975e91) (gcc version 3.3.5 (Debian 1:3.3.5-13)) #1 Fri Sep 22 17:42:25 CEST 2006
Oct 31 10:34:39 d9975e91 kernel: BIOS-provided physical RAM map:
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 0000000000000000 - 000000000009f800 (usable)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 000000000009f800 - 00000000000a0000 (reserved)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 0000000000100000 - 000000007dee0000 (usable)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 000000007dee0000 - 000000007dee3000 (ACPI NVS)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 000000007dee3000 - 000000007def0000 (ACPI data)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 000000007def0000 - 000000007df00000 (reserved)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 00000000fec00000 - 00000000fec01000 (reserved)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved)
Oct 31 10:34:39 d9975e91 kernel:  BIOS-e820: 00000000ffff0000 - 0000000100000000 (reserved)
Oct 31 10:34:39 d9975e91 kernel: DMI 2.2 present.
Oct 31 10:34:39 d9975e91 kernel: ACPI: PM-Timer IO Port: 0x1008
Oct 31 10:34:39 d9975e91 kernel: ACPI: LAPIC (acpi_id[0x00] lapic_id[0x00] enabled)
Oct 31 10:34:39 d9975e91 kernel: Processor #0 15:12 APIC version 16
Oct 31 10:34:39 d9975e91 kernel: ACPI: LAPIC_NMI (acpi_id[0x00] high edge lint[0x1])
Oct 31 10:34:39 d9975e91 kernel: ACPI: IOAPIC (id[0x02] address[0xfec00000] gsi_base[0])
Oct 31 10:34:39 d9975e91 kernel: IOAPIC[0]: apic_id 2, version 20, address 0xfec00000, GSI 0-23
Oct 31 10:34:39 d9975e91 kernel: ACPI: INT_SRC_OVR (bus 0 bus_irq 0 global_irq 2 dfl dfl)
Oct 31 10:34:39 d9975e91 kernel: ACPI: INT_SRC_OVR (bus 0 bus_irq 9 global_irq 9 dfl dfl)
Oct 31 10:34:39 d9975e91 kernel: Setting APIC routing to flat
Oct 31 10:34:39 d9975e91 kernel: Using ACPI (MADT) for SMP configuration information
Oct 31 10:34:39 d9975e91 kernel: Allocating PCI resources starting at 80000000 (gap: 7df00000:80d00000)
Oct 31 10:34:39 d9975e91 kernel: Checking aperture...
Oct 31 10:34:39 d9975e91 kernel: CPU 0: aperture @ d8000000 size 128 MB
Oct 31 10:34:39 d9975e91 kernel: Built 1 zonelists
Oct 31 10:34:39 d9975e91 kernel: Kernel command line: root=/dev/sda3 ro console=tty0
Oct 31 10:34:39 d9975e91 kernel: Initializing CPU#0
Oct 31 10:34:39 d9975e91 kernel: PID hash table entries: 4096 (order: 12, 32768 bytes)
Oct 31 10:34:39 d9975e91 kernel: time.c: Using 3.579545 MHz WALL PM GTOD PIT/TSC timer.
Oct 31 10:34:39 d9975e91 kernel: time.c: Detected 1599.575 MHz processor.
Oct 31 10:34:39 d9975e91 kernel: Console: colour VGA+ 80x25
Oct 31 10:34:39 d9975e91 kernel: Dentry cache hash table entries: 262144 (order: 9, 2097152 bytes)
Oct 31 10:34:39 d9975e91 kernel: Inode-cache hash table entries: 131072 (order: 8, 1048576 bytes)
Oct 31 10:34:39 d9975e91 kernel: Memory: 2023052k/2063232k available (1670k kernel code, 39464k reserved, 632k data, 152k init)
Oct 31 10:34:39 d9975e91 kernel: Calibrating delay using timer specific routine.. 3200.70 BogoMIPS (lpj=6401408)
Oct 31 10:34:39 d9975e91 kernel: Mount-cache hash table entries: 256
Oct 31 10:34:39 d9975e91 kernel: CPU: L1 I Cache: 64K (64 bytes/line), D cache 64K (64 bytes/line)
Oct 31 10:34:39 d9975e91 kernel: CPU: L2 Cache: 256K (64 bytes/line)
Oct 31 10:34:39 d9975e91 kernel: CPU: AMD Sempron(tm) Processor 2800+ stepping 02
Oct 31 10:34:39 d9975e91 kernel: Using local APIC timer interrupts.
Oct 31 10:34:39 d9975e91 kernel: result 12496691
Oct 31 10:34:39 d9975e91 kernel: Detected 12.496 MHz APIC timer.
Oct 31 10:34:39 d9975e91 kernel: testing NMI watchdog ... OK.
Oct 31 10:34:39 d9975e91 kernel: checking if image is initramfs...it isn't (bad gzip magic numbers); looks like an initrd
Oct 31 10:34:39 d9975e91 kernel: Freeing initrd memory: 4004k freed
Oct 31 10:34:39 d9975e91 kernel: NET: Registered protocol family 16
Oct 31 10:34:39 d9975e91 kernel: ACPI: bus type pci registered
Oct 31 10:34:39 d9975e91 kernel: PCI: Using configuration type 1
Oct 31 10:34:39 d9975e91 kernel: ACPI: Subsystem revision 20060127
Oct 31 10:34:39 d9975e91 kernel: ACPI: Interpreter enabled
Oct 31 10:34:39 d9975e91 kernel: ACPI: Using IOAPIC for interrupt routing
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Root Bridge [PCI0] (0000:00)
Oct 31 10:34:39 d9975e91 kernel: ACPI: Assume root bridge [_SB_.PCI0] bus is 0
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKA] (IRQs 3 4 5 6 7 9 10 11 *12 14 15)
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKB] (IRQs 3 4 5 6 7 9 10 *11 12 14 15)
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKC] (IRQs 3 4 5 6 7 9 10 11 12 14 15) *0, disabled.
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKD] (IRQs 3 4 5 6 7 9 *10 11 12 14 15)
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKE] (IRQs 3 4 5 *6 7 9 10 11 12 14 15)
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKF] (IRQs 3 4 5 6 7 *9 10 11 12 14 15)
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKG] (IRQs 3 4 5 6 *7 9 10 11 12 14 15)
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt Link [LNKH] (IRQs 3 4 *5 6 7 9 10 11 12 14 15)
Oct 31 10:34:39 d9975e91 kernel: usbcore: registered new driver usbfs
Oct 31 10:34:39 d9975e91 kernel: usbcore: registered new driver hub
Oct 31 10:34:39 d9975e91 kernel: PCI: Using ACPI for IRQ routing
Oct 31 10:34:39 d9975e91 kernel: PCI: If a device doesn't work, try "pci=routeirq".  If it helps, post a report
Oct 31 10:34:39 d9975e91 kernel: agpgart: Detected AGP bridge 0
Oct 31 10:34:39 d9975e91 kernel: agpgart: AGP aperture is 128M @ 0xd8000000
Oct 31 10:34:39 d9975e91 kernel: PCI-DMA: Disabling IOMMU.
Oct 31 10:34:39 d9975e91 kernel: PCI: Ignore bogus resource 6 [0:0] of 0000:01:00.0
Oct 31 10:34:39 d9975e91 kernel: PCI: Bridge: 0000:00:01.0
Oct 31 10:34:39 d9975e91 kernel:   IO window: d000-dfff
Oct 31 10:34:39 d9975e91 kernel:   MEM window: e8000000-e80fffff
Oct 31 10:34:39 d9975e91 kernel:   PREFETCH window: e0000000-e7ffffff
Oct 31 10:34:39 d9975e91 kernel: NET: Registered protocol family 2
Oct 31 10:34:39 d9975e91 kernel: IP route cache hash table entries: 65536 (order: 7, 524288 bytes)
Oct 31 10:34:39 d9975e91 kernel: TCP established hash table entries: 262144 (order: 9, 2097152 bytes)
Oct 31 10:34:39 d9975e91 kernel: TCP bind hash table entries: 65536 (order: 7, 524288 bytes)
Oct 31 10:34:39 d9975e91 kernel: TCP: Hash tables configured (established 262144 bind 65536)
Oct 31 10:34:39 d9975e91 kernel: TCP reno registered
Oct 31 10:34:39 d9975e91 kernel: IA32 emulation $Id: sys_ia32.c,v 1.32 2002/03/24 13:02:28 ak Exp $
Oct 31 10:34:39 d9975e91 kernel: VFS: Disk quotas dquot_6.5.1
Oct 31 10:34:39 d9975e91 kernel: Dquot-cache hash table entries: 512 (order 0, 4096 bytes)
Oct 31 10:34:39 d9975e91 kernel: Initializing Cryptographic API
Oct 31 10:34:39 d9975e91 kernel: io scheduler noop registered
Oct 31 10:34:39 d9975e91 kernel: io scheduler anticipatory registered (default)
Oct 31 10:34:39 d9975e91 kernel: io scheduler deadline registered
Oct 31 10:34:39 d9975e91 kernel: io scheduler cfq registered
Oct 31 10:34:39 d9975e91 kernel: Linux agpgart interface v0.101 (c) Dave Jones
Oct 31 10:34:39 d9975e91 kernel: [drm] Initialized drm 1.0.1 20051102
Oct 31 10:34:39 d9975e91 kernel: Serial: 8250/16550 driver $Revision: 1.90 $ 4 ports, IRQ sharing enabled
Oct 31 10:34:39 d9975e91 kernel: serial8250: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
Oct 31 10:34:39 d9975e91 kernel: serial8250: ttyS1 at I/O 0x2f8 (irq = 3) is a 16550A
Oct 31 10:34:39 d9975e91 kernel: RAMDISK driver initialized: 16 RAM disks of 65536K size 1024 blocksize
Oct 31 10:34:39 d9975e91 kernel: usbmon: debugfs is not available
Oct 31 10:34:39 d9975e91 kernel: serio: i8042 AUX port at 0x60,0x64 irq 12
Oct 31 10:34:39 d9975e91 kernel: serio: i8042 KBD port at 0x60,0x64 irq 1
Oct 31 10:34:39 d9975e91 kernel: TCP bic registered
Oct 31 10:34:39 d9975e91 kernel: NET: Registered protocol family 8
Oct 31 10:34:39 d9975e91 kernel: NET: Registered protocol family 20
Oct 31 10:34:39 d9975e91 kernel: ACPI wakeup devices:
Oct 31 10:34:39 d9975e91 kernel: PCI0 USB0 USB1 USB2 USB3 MAC0 AMR0 UAR1 UAR2
Oct 31 10:34:39 d9975e91 kernel: ACPI: (supports S0 S3 S4 S5)
Oct 31 10:34:39 d9975e91 kernel: RAMDISK: cramfs filesystem found at block 0
Oct 31 10:34:39 d9975e91 kernel: RAMDISK: Loading 4004KiB [1 disk] into ram disk... |^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^H^H|^H/^H-^Hdone.
Oct 31 10:34:39 d9975e91 kernel: VFS: Mounted root (cramfs filesystem) readonly.
Oct 31 10:34:39 d9975e91 kernel: Freeing unused kernel memory: 152k freed
Oct 31 10:34:39 d9975e91 kernel: NET: Registered protocol family 1
Oct 31 10:34:39 d9975e91 kernel: SCSI subsystem initialized
Oct 31 10:34:39 d9975e91 kernel: sata_sis 0000:00:05.0: version 0.5
Oct 31 10:34:39 d9975e91 kernel: GSI 16 sharing vector 0xA9 and IRQ 16
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt 0000:00:05.0[A] -> GSI 17 (level, low) -> IRQ 16
Oct 31 10:34:39 d9975e91 kernel: sata_sis 0000:00:05.0: Detected SiS 180/181 chipset in SATA mode
Oct 31 10:34:39 d9975e91 kernel: ata1: SATA max UDMA/133 cmd 0xE400 ctl 0xE502 bmdma 0xE800 irq 16
Oct 31 10:34:39 d9975e91 kernel: ata2: SATA max UDMA/133 cmd 0xE600 ctl 0xE702 bmdma 0xE808 irq 16
Oct 31 10:34:39 d9975e91 kernel: ata1: SATA link up 1.5 Gbps (SStatus 113)
Oct 31 10:34:39 d9975e91 kernel: ata1: dev 0 ATA-7, max UDMA7, 156301488 sectors: LBA48
Oct 31 10:34:39 d9975e91 kernel: ata1: dev 0 configured for UDMA/133
Oct 31 10:34:39 d9975e91 kernel: scsi0 : sata_sis
Oct 31 10:34:39 d9975e91 kernel: ata2: SATA link down (SStatus 0)
Oct 31 10:34:39 d9975e91 kernel: scsi1 : sata_sis
Oct 31 10:34:39 d9975e91 kernel:   Vendor: ATA       Model: SAMSUNG HD080HJ   Rev: WT10
Oct 31 10:34:39 d9975e91 kernel:   Type:   Direct-Access                      ANSI SCSI revision: 05
Oct 31 10:34:39 d9975e91 kernel: ACPI: Fan [FAN] (on)
Oct 31 10:34:39 d9975e91 kernel: ACPI: Thermal Zone [THRM] (42 C)
Oct 31 10:34:39 d9975e91 kernel: usbcore: registered new driver usbkbd
Oct 31 10:34:39 d9975e91 kernel: drivers/usb/input/usbkbd.c: :USB HID Boot Protocol keyboard driver
Oct 31 10:34:39 d9975e91 kernel: usbcore: registered new driver usbserial
Oct 31 10:34:39 d9975e91 kernel: drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Oct 31 10:34:39 d9975e91 kernel: usbcore: registered new driver usbserial_generic
Oct 31 10:34:39 d9975e91 kernel: drivers/usb/serial/usb-serial.c: USB Serial Driver core
Oct 31 10:34:39 d9975e91 kernel: vga16fb: mapped to 0xffff8100000a0000
Oct 31 10:34:39 d9975e91 kernel: fb0: VGA16 VGA frame buffer device
Oct 31 10:34:39 d9975e91 kernel: Console: switching to colour frame buffer device 80x30
Oct 31 10:34:39 d9975e91 kernel: Uniform Multi-Platform E-IDE driver Revision: 7.00alpha2
Oct 31 10:34:39 d9975e91 kernel: ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx
Oct 31 10:34:39 d9975e91 kernel: Initializing USB Mass Storage driver...
Oct 31 10:34:39 d9975e91 kernel: usbcore: registered new driver usb-storage
Oct 31 10:34:39 d9975e91 kernel: USB Mass Storage support registered.
Oct 31 10:34:39 d9975e91 kernel: SCSI device sda: 156301488 512-byte hdwr sectors (80026 MB)
Oct 31 10:34:39 d9975e91 kernel: sda: Write Protect is off
Oct 31 10:34:39 d9975e91 kernel: SCSI device sda: drive cache: write back
Oct 31 10:34:39 d9975e91 kernel: SCSI device sda: 156301488 512-byte hdwr sectors (80026 MB)
Oct 31 10:34:39 d9975e91 kernel: sda: Write Protect is off
Oct 31 10:34:39 d9975e91 kernel: SCSI device sda: drive cache: write back
Oct 31 10:34:39 d9975e91 kernel:  sda: sda1 sda2 sda3
Oct 31 10:34:39 d9975e91 kernel: sd 0:0:0:0: Attached scsi disk sda
Oct 31 10:34:39 d9975e91 kernel: sis900.c: v1.08.09 Sep. 19 2005
Oct 31 10:34:39 d9975e91 kernel: GSI 17 sharing vector 0xB1 and IRQ 17
Oct 31 10:34:39 d9975e91 kernel: ACPI: PCI Interrupt 0000:00:04.0[A] -> GSI 19 (level, low) -> IRQ 17
Oct 31 10:34:39 d9975e91 kernel: 0000:00:04.0: Realtek RTL8201 PHY transceiver found at address 1.
Oct 31 10:34:39 d9975e91 kernel: 0000:00:04.0: Using transceiver found at address 1 as default
Oct 31 10:34:39 d9975e91 kernel: eth0: SiS 900 PCI Fast Ethernet at 0xe000, IRQ 17, 00:15:58:0f:99:29.
Oct 31 10:34:39 d9975e91 kernel: Generic RTC Driver v1.07
Oct 31 10:34:39 d9975e91 kernel: pci_hotplug: PCI Hot Plug PCI Core version: 0.5
Oct 31 10:34:39 d9975e91 kernel: USB Universal Host Controller Interface driver v3.0
Oct 31 10:34:39 d9975e91 kernel: EXT3-fs: INFO: recovery required on readonly filesystem.
Oct 31 10:34:39 d9975e91 kernel: EXT3-fs: write access will be enabled during recovery.
Oct 31 10:34:39 d9975e91 kernel: kjournald starting.  Commit interval 5 seconds
Oct 31 10:34:39 d9975e91 kernel: EXT3-fs: sda3: orphan cleanup on readonly fs
Oct 31 10:34:39 d9975e91 kernel: EXT3-fs: sda3: 3 orphan inodes deleted
Oct 31 10:34:39 d9975e91 kernel: EXT3-fs: recovery complete.
Oct 31 10:34:39 d9975e91 kernel: EXT3-fs: mounted filesystem with ordered data mode.
Oct 31 10:34:39 d9975e91 kernel: Adding 506036k swap on /dev/sda2.  Priority:-1 extents:1 across:506036k
Oct 31 10:34:39 d9975e91 kernel: EXT3 FS on sda3, internal journal
Oct 31 10:34:39 d9975e91 kernel: shpchp: Standard Hot Plug PCI Controller Driver version: 0.4
Oct 31 10:34:39 d9975e91 kernel: NET: Registered protocol family 17
Oct 31 10:34:39 d9975e91 kernel: eth0: Media Link On 100mbps full-duplex
Oct 31 10:34:40 d9975e91 kernel: NET: Registered protocol family 10
Oct 31 10:34:40 d9975e91 kernel: lo: Disabled Privacy Extensions
Oct 31 10:34:40 d9975e91 kernel: IPv6 over IPv4 tunneling driver
Oct 31 10:34:41 d9975e91 lpd[2130]: restarted
Oct 31 10:54:39 d9975e91 -- MARK --
Mir ist da soweit nix auffälliges zu sehn.
Oder seht ihr da noch was auffälliges in den beiden logs?

in der auth.log vom ssh sind ausser den illigalen versuchen sich einzuloggen nichts weiter auffälliges zu sehn.

rkhunter habe ich auch mal durchlaufen lassen, aber da ist alles OK und im grünen bereich und sonst konnte ich weiterhin auch nichts finden.

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by sledge0303 » 2006-10-31 12:09

Hast du schon mal nachgesehen ob rein zufällig ein neuer User eingetragen ist?

Sind SSHd und Apache2 chroot'ed?

Wenn nichts auffälliges zu finden ist, könnte die bash zerschossen sein?

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 12:22

sledge0303 wrote:Hast du schon mal nachgesehen ob rein zufällig ein neuer User eingetragen ist?

Sind SSHd und Apache2 chroot'ed?

Wenn nichts auffälliges zu finden ist, könnte die bash zerschossen sein?
Ne sind keine neuen User eingetragen.
bin soweit alles durch und alles ist so wie es sein sollte.

Im Normalsystem funzt das /bin/bash ja ohne probs.
Ich sehe sonst nichts was auf ein eindringen hindeuten kann.

Hab alle logs die durch und wie gesagt ausser in der auth.log vom ssh

Code: Select all

Oct 31 12:17:02 d9975e91 sshd[31846]: Illegal user squid from ::ffff:218.232.104.221
Oct 31 12:17:05 d9975e91 sshd[31857]: Illegal user squid from ::ffff:218.232.104.221
Oct 31 12:17:08 d9975e91 sshd[31861]: Illegal user squid from ::ffff:218.232.104.221
Oct 31 12:17:11 d9975e91 sshd[31863]: Illegal user squid from ::ffff:218.232.104.221
Oct 31 12:17:13 d9975e91 sshd[31869]: Illegal user squid from ::ffff:218.232.104.221
Oct 31 12:17:16 d9975e91 sshd[31880]: Illegal user squid from ::ffff:218.232.104.221
Oct 31 12:17:17 d9975e91 sshd[31877]: Illegal user apache from ::ffff:219.146.102.18
Oct 31 12:17:19 d9975e91 sshd[31887]: User mysql not allowed because account is locked
Oct 31 12:17:21 d9975e91 sshd[31891]: Illegal user dan from ::ffff:219.146.102.18
Oct 31 12:17:22 d9975e91 sshd[31894]: User mysql not allowed because account is locked
Oct 31 12:17:25 d9975e91 sshd[31904]: User mysql not allowed because account is locked
Oct 31 12:17:25 d9975e91 sshd[31900]: Illegal user electra from ::ffff:219.146.102.18
Oct 31 12:17:28 d9975e91 sshd[31910]: User mysql not allowed because account is locked
Oct 31 12:17:30 d9975e91 sshd[31912]: Illegal user student from ::ffff:219.146.102.18
Oct 31 12:17:30 d9975e91 sshd[31918]: User mysql not allowed because account is locked
Oct 31 12:17:33 d9975e91 sshd[31926]: User mysql not allowed because account is locked
Oct 31 12:17:34 d9975e91 sshd[31924]: Illegal user school from ::ffff:219.146.102.18
Oct 31 12:17:36 d9975e91 sshd[31932]: User mysql not allowed because account is locked
Oct 31 12:17:38 d9975e91 sshd[31936]: User mysql not allowed because account is locked
Oct 31 12:17:39 d9975e91 sshd[31940]: User mysql not allowed because account is locked
Oct 31 12:17:42 d9975e91 sshd[31950]: User mysql not allowed because account is locked
Oct 31 12:17:42 d9975e91 sshd[31948]: Illegal user htt from ::ffff:219.146.102.18
Oct 31 12:17:45 d9975e91 sshd[31956]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:17:48 d9975e91 sshd[31966]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:17:50 d9975e91 sshd[31974]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:17:51 d9975e91 sshd[31970]: Illegal user hotdog from ::ffff:219.146.102.18
Oct 31 12:17:53 d9975e91 sshd[31978]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:17:55 d9975e91 sshd[31980]: Illegal user postgres from ::ffff:219.146.102.18
Oct 31 12:17:56 d9975e91 sshd[31982]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:17:59 d9975e91 sshd[31994]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:17:59 d9975e91 sshd[31990]: Illegal user postgres from ::ffff:219.146.102.18
Oct 31 12:18:02 d9975e91 sshd[32002]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:18:03 d9975e91 sshd[32004]: Illegal user postgres from ::ffff:219.146.102.18
Oct 31 12:18:05 d9975e91 sshd[32011]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:18:07 d9975e91 sshd[32017]: Illegal user postgres from ::ffff:219.146.102.18
Oct 31 12:18:08 d9975e91 sshd[32022]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:18:10 d9975e91 sshd[32030]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:18:12 d9975e91 sshd[32032]: Illegal user postgres from ::ffff:219.146.102.18
Oct 31 12:18:13 d9975e91 sshd[32038]: Illegal user desktop from ::ffff:218.232.104.221
Oct 31 12:18:16 d9975e91 sshd[32045]: Illegal user postgres from ::ffff:219.146.102.18
Oct 31 12:18:16 d9975e91 sshd[32049]: Illegal user desktop from ::ffff:218.232.104.221
ist nichts auffälliges zu sehn.
Es ist auch wieder auf public_key umgeschaltet und rootlogin gesperrt nachdem mein authkey ja wieder funktioniert.

den ssh2 habe ich jetzt auch mal verlegt auf einen anderen port.
Und ne ssh2 und apache sind derzeit noch nicht chrooted.

Da such ich noch nach einem guten Tutorial.

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by sledge0303 » 2006-10-31 12:50

Ich hatte mal das gleiche Problem, da war die Bash abgeschossen...

Was die Logs angeht, der Angreifer würde seine Aktivitäten natürlich löschen, aus diesem Grund logge ich auch außerhalb der chroots mit und diffe die Logs anschließend gegeneinander.

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 13:17

sledge0303 wrote:Ich hatte mal das gleiche Problem, da war die Bash abgeschossen...

Was die Logs angeht, der Angreifer würde seine Aktivitäten natürlich löschen, aus diesem Grund logge ich auch außerhalb der chroots mit und diffe die Logs anschließend gegeneinander.
Mit dem Bash war ja nur im Rescue system das Problem und da kommt ja kein Angreifer dran, solange das Normalsystem läuft.

Und beim jeden Rescueboot ändert sich das Password, sprich ich habe immer ein anderes Password, wenn ich ins Rescue system boote.

Haste ein gutes tutorial für chroot mit apache 2 und ssh2 ?
Wenn möglich ein leicht verständliches :wink:

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by sledge0303 » 2006-10-31 13:54

Und beim jeden Rescueboot ändert sich das Password, sprich ich habe immer ein anderes Password, wenn ich ins Rescue system boote.
Ist ja auch Sinn und Zweck der Sache ;)
Haste ein gutes tutorial für chroot mit apache 2 und ssh2 ?
Wenn möglich ein leicht verständliches Wink
Ich selber arbeite mit eigenen Howtos und Skripten um chroots zu erstellen, i.d.R. nach eigenen Erfahrungen gestrickt.
Howtos gibt es genug, hab mal ebend bei google nachgeschaut. Du musst aber beachten, jedes Howto ist so erstellt wie es der Urheber haben wollte, meine nach seinen Bedürnissen. Du musst schon gewaltig nacharbeiten. Bei Debian gibt es die Möglichkeit chroots per debootstrab zu installieren. Ich halte jedenfalls nichts davon und wäre auch nicht akzeptabel in Sachen Sicherheit.
Du solltest ähnlich wie in diesem Howto vorgehen:

http://wiki.sprayen.de/index.php/Apache ... t_Umgebung

Es sieht auf dem ersten Blick ziemlich vollständig aus, es fehlen aber noch ein paar Sachen bei der Anpassung des Apache2 Startskripts und Bibliotheken, ist aber auch abhängig was rein soll. Du wirst dich gewaltig hinter klemmen müssen, irgendwo hatte Flo mal erwähnt chroots sind Fleißsachen. Kann das nur unterstreichen.
Packe nur Bibliotheken in die chroots die wirklich gebraucht werden, passe auf die /etc/ group auf.
Ist das chroot fertig, Dateien wie /etc/group, die nicht mehr geändert werden sollen, immer mit dem immutablen Bit "sichern"...
Zugriff auf MySQL/PgSQL Datenbanken ist dann nur noch per TCP/IP möglich (z.B.127.0.0.1:3306)...und...und...und...Fehlermeldungen sind nicht immer selbsterklärend, auch wenn nur eine benötigte Lib fehlt oder etwas im Startskript des Indianers zuviel drin steht...

Code: Select all

apr_proc_detach failed
Wie du siehst, es ist wirklich eine Fleißsache, aber dein Fleiß wird sich am Ende auszahlen ;)

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by blnsnoopy26 » 2006-10-31 14:05

Ohje hab es grad mal grob überflogen .... glaub da wird dann mal ein ganzes WE drauf gehen, bis alles läuft.

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by sledge0303 » 2006-10-31 15:12

blnsnoopy26 wrote:Ohje hab es grad mal grob überflogen .... glaub da wird dann mal ein ganzes WE drauf gehen, bis alles läuft.
Würde mich nicht auf "nur" ein Wochenende verlassen... ;)

Ich selber habe neben den Apachen SSHd, MySQL, PgSQL und den Mailserver im chroot. Bind natürlich nicht vergessen. Mit den Datenbanken kann man streiten ob das so notwendig ist.
Bin gerade dabei mit dem lighty ein paar Tests durchzuziehen. Wenn der Performancegewinn so enorm ist wie hier manchmal verlautet, könnte ein Großteil der Kunden nach und nach umziehen.
BSD wird das nächste sein was in Angriff genommen wird, vorausgetzt ich finde endlich mal genügend Zeit dafür...

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Kein Login mehr über SSH möglich --> Rescuesystem

Post by mattiass » 2006-10-31 15:15

sledge0303 wrote: BSD wird das nächste sein was in Angriff genommen wird, vorausgetzt ich finde endlich mal genügend Zeit dafür...
Da wäre es sinnvoll gewesen, erst ein BSD aufzusetzen. :-D Denn BSD-Jails sind nicht nur sicherer als gewöhnliche Chroots am (ungepatchten) Linux-Kernel, sondern auch in fünf Minuten aufgesetzt...