Rechte am Server verändert

[woopser]

Hi @ All,


ich habe ein ziemliches Problem bei einen Kunden. Sein Admin oder der der es werden will wollte für ein Webverzeichnis die Rechte ändern. Er muss was falsch gemacht haben und hat nun von fast allen Daten auf dem Server auf 777 gesetzt. Derzeit gehen kein FTP, SHH und Emails Postfächer. Man kann nur in den Rescue Modus booten um per SSh drauf zu gelangen. Wie kann man die Rechte wieder auf Standard zu stellen, gibt es da eine Lösung ?????

Server ist ein Root L4 von 1und1.



BIG THX für Eure Antworten udn Hilfe.

[serverzeit.de]

Du wirst um eine Neuinstallation nicht herumkommen. Ich weiß zwar nicht was für ein Betriebssystem du auf dem Server hast, aber ich habe noch nie von einer "Schablone" für Zugriffsrechte gehört.

Ich habe zwar noch nie alle Files auf 777 gesetzt, aber warum sollte der Server dann nicht mehr starten?

Daher mein Rat:
1) Server neuinstallieren
2) Backup der Daten einspielen
3) Admin schubsen.

[aubergine]

Es gibt 2 Möglichkeiten:

1. Anderes System (zuhause etc.) aufsetzen mit exakt der slben $linux Version und Software

Dann mit getfacl und setfacl arbeiten und den Rest manuell wiederherstellen.


2. Neuinstallation

[woopser]

Hi,

doch der Server startet. Es ist im Normalen Betrieb kein SSH, FTP und POP3 Zugang möglich, also für die User die schon angelegt waren. Domains laufen trotzdem normal weiter. Wenn ich jetzt einen neuen User anlege im Confixx für den geht alles normal, also ftp,. Ich habe den Server im Rescue Modus gestartet um nachzusehen per SHH Login was los ist. Dann habe ich ebend endeckt das alles auf 777 steht.

[daemotron]

Frage: Wie kommt es, dass der Kunde überhaupt die Möglichkeit hatte, überall die Berechtigung zu ändern? Wurden neben der Rechte-Maske ev. auch UID/GID geändert? Und vor allem: bist Du sicher, dass es
a) die einzigen Veränderungen an Deinem System sind und
b) dass es wirklich der Kunde/dessen Admin war?

IMHO könnte es (wenn auch deutlich weniger wahrscheinlich) auch ein mißglückter Übernahme- oder Sabotageversuch eines Scriptkiddies sein (wobei sich da jemand schon dämlich angestellt haben müsste... à la "I hacked 127.0.0.1") oder ein Defekt im Filesystem. Sind denn alle Dateisysteme betroffen oder nur eine Partition?

[power2linux]

Hi @ All,


ich habe ein ziemliches Problem bei einen Kunden. Sein Admin oder der der es werden will wollte für ein Webverzeichnis die Rechte ändern. Er muss was falsch gemacht haben und hat nun von fast allen Daten auf dem Server auf 777 gesetzt. Derzeit gehen kein FTP, SHH und Emails Postfächer. Man kann nur in den Rescue Modus booten um per SSh drauf zu gelangen. Wie kann man die Rechte wieder auf Standard zu stellen, gibt es da eine Lösung ?????

Server ist ein Root L4 von 1und1.



BIG THX für Eure Antworten udn Hilfe.

Hiho,

benutzt ihr plsek ? wenn ja kann ich dir zumindest die grp sagen. die gruppe für die verzeichnisse im vhost bereich ist psaserv, für die dateien im vhost bereich ist psacln. bei qmail ist die grp qmail. die standard berechtigung für qmail verzeichnisse ist 755 und für die vhost verzeichnisse ist 750.

grüße steffen

[daemotron]

Wenn dessen Admin chmod 777 / statt chmod 777 ./ eintippselt, kann das schon passieren.

Naa, das ließe sich ja einfach rückgängig machen - die Verzeichnisse auf /-Ebene haben bis auf /sbin und /tmp alle 755. Wenn, dann hat er sowas verzapft:

Code: Select all

chmod -R 777 /

Na ja, warum predigt man eigentlich immer, dass man, wenn man als root arbeitet, immer absolute Pfade verwenden soll? Dann wär's wahrscheinlich nicht passiert...

[power2linux]

Wenn dessen Admin chmod 777 / statt chmod 777 ./ eintippselt, kann das schon passieren.

Naa, das ließe sich ja einfach rückgängig machen - die Verzeichnisse auf /-Ebene haben bis auf /sbin und /tmp alle 755. Wenn, dann hat er sowas verzapft:

Code: Select all

chmod -R 777 /

Na ja, warum predigt man eigentlich immer, dass man, wenn man als root arbeitet, immer absolute Pfade verwenden soll? Dann wär's wahrscheinlich nicht passiert...

das mit 755 ist richtig, aber grade der Webserver bzw. das qmail in Verbindung mit Plesk (welche wohl auf dem 1&1 L4 auch drauf ist) wollen da manchmal andere Einstellungen.

Aber mal so doof gefragt, eigentlich müsste der Spaß doch auch mit ner Reperatur Installation via Yast rückgängig zu machen sein.

[dotme]

Bei einem RPM-basierten System kannst Du die "Orginalrechte" in der Ausgabe von "rpm -qlv <PACKETNAME>" einsehen. Aber eben nur für die Dateien, die aus dem Paket stammen.

[daemotron]

Die Plesk-Bestandteile für Suse sind ebenfalls als RPM vorhanden - von daher könnte das sogar funktionieren (die liegen irgendwo auf der Platte - zur Not kannst Du sie aber auch bei SWSoft herunterladen).

@power2linux: Ich wollte damit nur klarstellen, dass chmod 777 / keinen irreparablen Schaden angerichtet hätte, weil so nur die oberste Ebene betroffen gewesen wäre. Dass in den Verzeichnissen darunter dann alles durcheinander geraten ist, bedeutet, dass das Kommando rekursiv ausgeführt wurde, und dass das ein System aus dem Tritt bringen kann, ist mir durchaus klar.

Trotzdem kommt es mir komisch vor, dass einzelne Dienste den Start verweigern, obwohl die Rechte ja erweitert und nicht eingeschränkt wurden. Wäre mir jedenfalls neu, dass ein Dienst prüft, ob Rechte zu großzügig vergeben wurden und dann die Zusammenarbeit verweigert... Daher mein Verdacht, dass noch irgendetwas anderes kaputt sein muss. Naheliegend wäre eben, dass nicht nur ein chmod, sondern auch ein chown abgesetzt wurde. Aber möglicherweise sind eben auch die veränderten Rechte gar nicht der Auslöser des Debakels, sondern das Ergebnis eines (gescheiterten) Rettungsversuchs des "Admins", der vielleicht schon vorher irgend was anderes kaputt gespielt hat.

[rootsvr]

Trotzdem kommt es mir komisch vor, dass einzelne Dienste den Start verweigern, obwohl die Rechte ja erweitert und nicht eingeschränkt wurden. Wäre mir jedenfalls neu, dass ein Dienst prüft, ob Rechte zu großzügig vergeben wurden und dann die Zusammenarbeit verweigert... Daher mein Verdacht, dass noch irgendetwas anderes kaputt sein muss. Naheliegend wäre eben, dass nicht nur ein chmod, sondern auch ein chown abgesetzt wurde. Aber möglicherweise sind eben auch die veränderten Rechte gar nicht der Auslöser des Debakels, sondern das Ergebnis eines (gescheiterten) Rettungsversuchs des "Admins", der vielleicht schon vorher irgend was anderes kaputt gespielt hat.

Naja ssl oder ssh (?) weigert sich imho ein Zertifikat oder Schlüssel zu nutzen, wenn die Dateien andere Rechte als root:root 700 haben. Wie es allerdings bei Plesk ist weiß ich nicht..

Wie allerdings ein Admin beim Kunden alle kaputt machen kann (Hey wenn da der Admin ist, wo ist dann DEIN Problem?) ist mir schleierhaft. Schuld abschieben zurücklehnen und geniessen *Popcornreich*

[Joe User]

Trotzdem kommt es mir komisch vor, dass einzelne Dienste den Start verweigern, obwohl die Rechte ja erweitert und nicht eingeschränkt wurden. Wäre mir jedenfalls neu, dass ein Dienst prüft, ob Rechte zu großzügig vergeben wurden und dann die Zusammenarbeit verweigert...

OpenSSH verweigert in dem Fall mindestens den Login per Key, andere Dienste mögen empfindlicher sein, ich habe aber weder Lust noch Zeit das zu testen ;)

[power2linux]

Trotzdem kommt es mir komisch vor, dass einzelne Dienste den Start verweigern, obwohl die Rechte ja erweitert und nicht eingeschränkt wurden. Wäre mir jedenfalls neu, dass ein Dienst prüft, ob Rechte zu großzügig vergeben wurden und dann die Zusammenarbeit verweigert... Daher mein Verdacht, dass noch irgendetwas anderes kaputt sein muss. Naheliegend wäre eben, dass nicht nur ein chmod, sondern auch ein chown abgesetzt wurde. Aber möglicherweise sind eben auch die veränderten Rechte gar nicht der Auslöser des Debakels, sondern das Ergebnis eines (gescheiterten) Rettungsversuchs des "Admins", der vielleicht schon vorher irgend was anderes kaputt gespielt hat.

Wusste gar net das Plesk auch als RPM vorliegt. Naja kann ich mir demnächst das manuelle updaten sparen :)

Also so wie ich es verstanden habe, starten die Dienste zwar, jedoch ist ein Zugriff auf diese nicht möglich. Ist auch klar, wenn das Postfach von qmail die falsche Berechtigung hat, verweigert das Teil seinen Dienst. Beim FTP isses auch klar. Wenn die Anfrage an den FTP Server geht und da nen Permission denied kommt, weil die Grp falsch gesetzt ist. Klapps auch net mit der Verbindung.

[woopser]

Hi Jungs,


ich habe nicht gesagt das die Dienste nicht gehen. Sie laufen ja aber sie werden einfach nicht zugelassen. das heißt alles was mit der ZEit vor dem Vorfall war geht nicht. Wenn ich jetzt aber neuen User anlege, dann geht POP3 Postfach, FTP und SSH nicht. Ist Confixx drauf instslliert. Es wird jetzt ein Backup gezogen und neu installiert.

THX

[power2linux]

Wusste gar net das Plesk auch als RPM vorliegt. Naja kann ich mir demnächst das manuelle updaten sparen :)

Moment, wie meinst Du das?
Plesk wird nicht mit den Installationen von z.b. Suse mitgeleifert. Hilft also ein automatisches Update nicht.
Wenn, dann funktioniert es nur über die Console oder willst Du dir selber ein Script schreiben, welches die RPM Dateien von Plesk herunter lädt und installiert?
Letzeres würde ich lassen, da Du dann selbst Abhängigkeiten / Reihenfolgen einhalten musst.

Gruss Matthias

Nein schon via Console per rpm Befehl. Der Server von mir wird eh net wirklich via Yast mit Updates versorgt.
Edit : *lol* eben festgestellt dass ich eh immer die RPMs nutze^^ (bin manchmal ein wenig blind)

@woopser :

Auch bei Confixx ist dies ein Problem. Wie schon gesagt wird zb der FTP Client vom Server die Meldung Access Denied bekommen. (Deswegen kein Login) Gleiches gilt fürs Postfach.

Bei Plesk gehören die Postfächer (ich nehme an das du Postfix laufen hast) den Benutzern webXpY zugeordnet. Selbiges gilt für die Gruppen (wenn ich mich recht erinnere). Bei den Verzeichnissen vom Webserver verhält es sich ähnlich, nur dass es hier eben webX alleine ist. (X / Y die jeweilige Zahl des Users).