投稿日:2002年08月24日 作成鷹の巣

No.4729 rootのパスワードが突然通らなくなる。



rootのパスワードが突然通らなくなる。

No.4729 投稿時間:2002年08月24日(Sat) 17:22 投稿者名:しまじろう URL:

はじめて投稿します。しまじろうと申します。
実は困ってしまっていろいろ関連記事を探しておりましたらここにたどり着きました。
誰かわかる方いらっしゃいましたらご指導願います。

問題はrootのパスワードが突如通らなくなってしまうのです。
自宅サーバーをRedHatLinux7.2で立ち上げてdns・www・ftp・smtp・pop・telnet・dhcp・PostgreSQLと
サーバーを立ち上げました。やれやれと思ってしばらくテスト稼働させていて、ある日rootでログイン
しようとするとパスワードがはねられてしまいます。

これで二度目になります。

rootでログインできないのであらかじめ作っておいた一般ユーザーアカウントでログインしてみると
すんなりログインできました。一般ユーザーのパスワードもrootのパスワードも同じものを使用している
ので入力ミスは考えられないのです。一般ユーザーでログインすると/homeの中に誰か別のユーザーが
登録したユーザーディレクトリが出来ています。

まだLinux初心者の私にはよくわからないのですが外部から進入されてrootパスワードを変更されてしまったのでしょうか?

今の現状でいえばまだテスト運用中ですので初期化して再構築すれば良いだけなのですが原因がわからないと本格稼働が
出来ません。この解決策として2つ選択肢があるのですが

1.原因を突き止めてそうならないようにする。
2.原因はよくわからないがそうなった時にrootパスワードを修復出来るようにする。

これに関して1.の原因がよくわからないので2.で対処しようと思いいろいろ文献を探しましたが「シングルユーザーのランレベルで
起動して」とかありましたがそのやり方もわかりません。「LILOを使って」とかいわれても私のサーバーはGRUBを利用していますのでGRUBでシングルユーザーモードで立ち上げようにもGRUBに設定したパスワードがそもそも通らなくなっています。

私のサーバーに何が起こってしまったのでしょう?
何となくわかる方いらっしゃいますでしょうか?

以上神の声お待ちしております。


起動用のFDが作ってあるなら、それから起動できませんか?

No.4737 投稿時間:2002年08月24日(Sat) 20:27 投稿者名:かつ URL:http://www.kkoba.com/

しまじろうさん、こんばんは。

私の知る限りでは、「GRUBのパスワードがわからないなら、C,Eのコマンドが効かないのでもう無理」です。
(もっとも、私は慣れているLILOを使っているので、GRUBは詳しくないです)。

1. GRUBのパスワードを入れるところでは、キーボードは日本語キーボードになっていません。
'+'とか'='とか、キー入力を間違えている可能性はありませんか?
2. 起動用のFDが作ってあるなら、それから起動できませんか?

仮に起動できたとしても、
・/homeに知らないディレクトリができている。
・rootのパスワードが変わっている。
なら、誰かに進入されてますよね。
何か仕掛けられている可能性があるので、HDDをまっさらにして再インストールです。

セキュリティー面では、
・telnetアクセスは止め、sshを使うようにする。
・少なくともredhatのサイトはこまめに見てセキュリティーパッチを当てる。
が、最低条件として直ぐに思い浮かぶところです。


起動用FDを作っておけば何とかなるのでしょうか?

No.4779 投稿時間:2002年08月26日(Mon) 12:30 投稿者名:しまじろう URL:

> しまじろうさん、こんばんは。
>
> 私の知る限りでは、「GRUBのパスワードがわからないなら、C,Eのコマンドが効かないのでもう無理」です。
> (もっとも、私は慣れているLILOを使っているので、GRUBは詳しくないです)。
>
> 1. GRUBのパスワードを入れるところでは、キーボードは日本語キーボードになっていません。
> '+'とか'='とか、キー入力を間違えている可能性はありませんか?
> 2. 起動用のFDが作ってあるなら、それから起動できませんか?
>
> 仮に起動できたとしても、
> ・/homeに知らないディレクトリができている。
> ・rootのパスワードが変わっている。
> なら、誰かに進入されてますよね。
> 何か仕掛けられている可能性があるので、HDDをまっさらにして再インストールです。
>
> セキュリティー面では、
> ・telnetアクセスは止め、sshを使うようにする。
> ・少なくともredhatのサイトはこまめに見てセキュリティーパッチを当てる。
> が、最低条件として直ぐに思い浮かぶところです。

一般ユーザーでログインするときも同じパスワードにしていましたので
現在一般ユーザーでログインできているのでキーボードの設定とは考えにくいです。
起動用FDを作っていませんでした。(TT)
起動用FDを作っておけば何とかなるのでしょうか?
なにぶん初心者ですので起動用FDが何の役に立つのかもわかりません。
次回再インストールするときは作っておきます。

それとお聞きしたいのがrootパスワードやGRUBパスワードは外部からいとも簡単に変更出来てしまうものなのでしょうか?
telnetを止めてsshを使えば防ぐ事が出来るのでしょうか?
私はまだsshがよくわかっていませんので勉強しないとつかえません。
どんな書籍を読めばsshがよくわかりますか?
現在お持ちの書籍などございましたらご紹介していただけると助かります。


LILOとSSH

No.4804 投稿時間:2002年08月27日(Tue) 01:57 投稿者名:かつ URL:http://www.kkoba.com/

しまじろうさん、こんばんは。

> 起動用FDを作っていませんでした。(TT)
> 起動用FDを作っておけば何とかなるのでしょうか?
> なにぶん初心者ですので起動用FDが何の役に立つのかもわかりません。
> 次回再インストールするときは作っておきます。
GRUBについては、下記URLが詳しいです。
http://www.zdnet.co.jp/help/howto/linux/redhat7_2_grub/index.html

異論があるかも知れませんが、
・そのPCにLinuxしかインストールしない
・/bootパーティションをHDDの先頭に作る
という条件なら、GRUBよりLILOの方が情報が多くて現時点では使いやすいです。

> それとお聞きしたいのがrootパスワードやGRUBパスワードは外部からいとも
> 簡単に変更出来てしまうものなのでしょうか?
外部からtelnetで侵入されて、suでrootになられたりしたらなんでもやり放題です。

> telnetを止めてsshを使えば防ぐ事が出来るのでしょうか?
telnetは通信が平文で流れるので、Internetには公開しないのが普通です。
sshなら通信は暗号化されます。

> 私はまだsshがよくわかっていませんので勉強しないとつかえません。
> どんな書籍を読めばsshがよくわかりますか?
> 現在お持ちの書籍などございましたらご紹介していただけると助かります。
書籍を買わなくても、sshの情報はInternetに沢山あります。
私のサイトも参考になるかも知れません。
http://www.kkoba.com/ssh/
ただし、sshをInternetに公開するなら、
・自分で納得行くまで十分調べる。
・セキュリティーパッチには常に目を光らせる。
という注意が必要です(自分にも言い聞かせています)。


進入した方を責めるより私の認識の無さが原因ですね!

No.4815 投稿時間:2002年08月27日(Tue) 13:27 投稿者名:しまじろう URL:

> しまじろうさん、こんばんは。
>
> GRUBについては、下記URLが詳しいです。
> http://www.zdnet.co.jp/help/howto/linux/redhat7_2_grub/index.html

有用な情報ありがとうございます。
ここに来られる方みんな親切です。
本当にありがとうございます。

>
> 異論があるかも知れませんが、
> ・そのPCにLinuxしかインストールしない
> ・/bootパーティションをHDDの先頭に作る
> という条件なら、GRUBよりLILOの方が情報が多くて現時点では使いやすいです。
>

なにしろ書籍に書いてあるままインストールした結果GRUBが入ったということです。
情報がたくさんあるもの使うべきですね!痛感いたしました。

> > それとお聞きしたいのがrootパスワードやGRUBパスワードは外部からいとも
> > 簡単に変更出来てしまうものなのでしょうか?
> 外部からtelnetで侵入されて、suでrootになられたりしたらなんでもやり放題です。

レンタルホスティングサービスでtelnetを許可しているところがありますが
どうしているんでしょう。
何か対策があるんですかねぇ。

>
> > telnetを止めてsshを使えば防ぐ事が出来るのでしょうか?
> telnetは通信が平文で流れるので、Internetには公開しないのが普通です。
> sshなら通信は暗号化されます。
>
> > 私はまだsshがよくわかっていませんので勉強しないとつかえません。
> > どんな書籍を読めばsshがよくわかりますか?
> > 現在お持ちの書籍などございましたらご紹介していただけると助かります。
> 書籍を買わなくても、sshの情報はInternetに沢山あります。
> 私のサイトも参考になるかも知れません。
> http://www.kkoba.com/ssh/
> ただし、sshをInternetに公開するなら、
> ・自分で納得行くまで十分調べる。
> ・セキュリティーパッチには常に目を光らせる。
> という注意が必要です(自分にも言い聞かせています)。

結局、私のサーバーは「穴だらけ」だったわけですね!
進入した方を責めるより私の認識の無さが原因ですね!
ん~素人はこわいですね。
以後気をつけて慎重にセットアップに心がけます。

ありがとうございました。


su はどうでしょう

No.4738 投稿時間:2002年08月24日(Sat) 20:51 投稿者名:OAK URL:

一般ユーザーでログインして、su はどうでしょう。

誰か別のユーザーが登録したユーザーディレクトリが出来ています。
どんなディレクトリが出来ましたか?


当然のごとくsuもダメです。

No.4778 投稿時間:2002年08月26日(Mon) 12:18 投稿者名:しまじろう URL:

> 一般ユーザーでログインして、su はどうでしょう。
>
> 誰か別のユーザーが登録したユーザーディレクトリが出来ています。
> どんなディレクトリが出来ましたか?

「jhony」とか「sql」とか「licipi」などです。
当然のごとくsuもダメです。
postgreSQLの管理者「postgres」のIDでも入れなくなっています(TT)
パスワードはrootと同じにしてありました。
何かわかりますでしょうか?


本当にのっとられたのでしょうか

No.4780 投稿時間:2002年08月26日(Mon) 12:40 投稿者名:OAK URL:

> > 一般ユーザーでログインして、su はどうでしょう。
> >
> > 誰か別のユーザーが登録したユーザーディレクトリが出来ています。
> > どんなディレクトリが出来ましたか?
>
> 「jhony」とか「sql」とか「licipi」などです。
> 当然のごとくsuもダメです。
> postgreSQLの管理者「postgres」のIDでも入れなくなっています(TT)
> パスワードはrootと同じにしてありました。
> 何かわかりますでしょうか?

本当にのっとられたのでしょうか??
ちょっと答えがでません。

まさかインターネットで telnet なんて許可してないですよね。
今後のはなしにはなりますが、
なにか外部からログインできるようなものは無いですか。あったら止める。
Tripwire などで、ファイルの変更があればメールを受けるなども有効。

シングルモードで立ち上げる(ROOTのパスワード不要)は
電源投入時の Lilo で linux single と入れてください。


telnetを許可しています。

No.4782 投稿時間:2002年08月26日(Mon) 13:52 投稿者名:しまじろう URL:

> > > 一般ユーザーでログインして、su はどうでしょう。
> > >
> > > 誰か別のユーザーが登録したユーザーディレクトリが出来ています。
> > > どんなディレクトリが出来ましたか?
> >
> > 「jhony」とか「sql」とか「licipi」などです。
> > 当然のごとくsuもダメです。
> > postgreSQLの管理者「postgres」のIDでも入れなくなっています(TT)
> > パスワードはrootと同じにしてありました。
> > 何かわかりますでしょうか?
>
> 本当にのっとられたのでしょうか??
> ちょっと答えがでません。
>
> まさかインターネットで telnet なんて許可してないですよね。
> 今後のはなしにはなりますが、
> なにか外部からログインできるようなものは無いですか。あったら止める。
> Tripwire などで、ファイルの変更があればメールを受けるなども有効。
>
> シングルモードで立ち上げる(ROOTのパスワード不要)は
> 電源投入時の Lilo で linux single と入れてください。

そのまさかです。telnetを許可しています。
ダメ・・・ですか?
今までレンタルホスティングサービスでホームページ運用しておりまして
そのサーバーではtelnetを許可していたのでそのまま許可してしまいました。
ごめんなさい。ずぶの素人でどれだけ危険かわかっておりません。


どうしてもtelnet を使いたい場合は、規制してください。

No.4784 投稿時間:2002年08月26日(Mon) 15:24 投稿者名:OAK URL:

> そのまさかです。telnetを許可しています。
> ダメ・・・ですか?

もし、誰かが入ったのでしたらですが。
telnet (暗号化しても同じですが)が許可されていると、
1.辞書や名前のデータを放り込んできます
2.ログインできなければ、ランダムに ID、パスを入れてきます。
したがって、よく使われる単語や名前、短い ID で設定されていると、簡単に入れます。

一度何かのIDで入れれば、su を実行するか、セキュリティホールのあるファイルの修正を行います。
終わる前にログは消して帰ります。入られている可能性がかなりありますね。

どうしてもtelnet を使いたい場合は、IPアドレスやドメイン規制をかけ最低限の許可を行うように
最悪 .jp で規制してください。
また、ルートパスワードはランダムデータの長いものを。壁に貼っても平気ですから。

FTPも同様ですが、ftpのユーザーのルートディレクトリーを固定すれば、はいられても他のディレクトリー
を見れない、直せないので、かなり良くはなります。同時に使えるユーザーは最低限にします。

いずれにしろ、入られたか、誰かがいじったかも分からないと困るので、Tripwire をお勧めします。
なるべく使わないデーモンは止める。許可しても相手ドメインで規制するなどはやらないとまずいでしょう。

早急にルートでログインして、なるべく多くのログをチェックしてください。


再インストール後、対処してみます。

No.4785 投稿時間:2002年08月26日(Mon) 15:55 投稿者名:しまじろう URL:

> > そのまさかです。telnetを許可しています。
> > ダメ・・・ですか?
>
> もし、誰かが入ったのでしたらですが。
> telnet (暗号化しても同じですが)が許可されていると、
> 1.辞書や名前のデータを放り込んできます
> 2.ログインできなければ、ランダムに ID、パスを入れてきます。
> したがって、よく使われる単語や名前、短い ID で設定されていると、簡単に入れます。
>
> 一度何かのIDで入れれば、su を実行するか、セキュリティホールのあるファイルの修正を行います。
> 終わる前にログは消して帰ります。入られている可能性がかなりありますね。
>
> どうしてもtelnet を使いたい場合は、IPアドレスやドメイン規制をかけ最低限の許可を行うように
> 最悪 .jp で規制してください。
> また、ルートパスワードはランダムデータの長いものを。壁に貼っても平気ですから。
>
> FTPも同様ですが、ftpのユーザーのルートディレクトリーを固定すれば、はいられても他のディレクトリー
> を見れない、直せないので、かなり良くはなります。同時に使えるユーザーは最低限にします。
>
> いずれにしろ、入られたか、誰かがいじったかも分からないと困るので、Tripwire をお勧めします。
> なるべく使わないデーモンは止める。許可しても相手ドメインで規制するなどはやらないとまずいでしょう。
>
> 早急にルートでログインして、なるべく多くのログをチェックしてください。

目が点。(・・)
ありがとうございます。
どちらにしても現在root権限が使えない状況です。
ログも満足にみれませんので再インストール後、対処してみます。
原因はセキュリティに対する認識不足・・・ですね。m(_ _)m

第3者がroot権限のパスワードを変更して何がおもしろいのでしょうか?
初期化されてしまったらそれでおしまいなのに・・・。
何かメリットがあるのでしょうか?
もし私がクラッカーならパスワードはそのままにして気づかれないように
悪事をはたらくのですが・・・。

不思議な人たちだ・・・。

本当にありがとうございました。


ルートでログインする方法

No.4786 投稿時間:2002年08月26日(Mon) 16:04 投稿者名:OAK URL:

シングルモードで立ち上げる(ROOTのパスワード不要)は
電源投入時の Lilo で linux single と入れてください。

これでルートでログインできます。


LiloはインストールしておらずGRUBを使用しております。

No.4788 投稿時間:2002年08月26日(Mon) 18:22 投稿者名:しまじろう URL:

> シングルモードで立ち上げる(ROOTのパスワード不要)は
> 電源投入時の Lilo で linux single と入れてください。
>
> これでルートでログインできます。

LiloはインストールしておらずGRUBを使用しております。
よくわからないので書籍に書いてあるままインストールした結果です。
その書籍にはGRUBの使い方まで書いていなかったので困っております。
またGRUBにパスワード設定をしたのですがそのパスワードすら通らないので
お手上げ状態です。とほほ・・・。


LILO でも同様症状を見たことが…

No.4752 投稿時間:2002年08月25日(Sun) 14:20 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> サーバーを立ち上げました。やれやれと思ってしばらくテスト稼働させていて、ある日rootでログイン
> しようとするとパスワードがはねられてしまいます。
> 一般ユーザーでログインすると/homeの中に誰か別のユーザーが
> 登録したユーザーディレクトリが出来ています。

「ある日突然」「/homeに別のユーザ」となると、外部から侵入された可能性が高いでしょうね。
ログを調べてください。コマンド例として、
$ last | less
$ less /var/log/messages (スーパーユーザ権限が必要)
$ less /var/log/secure (スーパーユーザ権限が必要)
$ history | less (その権限でのコマンド履歴が見れます)

「進入する者は足跡を消す」のが常識ですので、ログが残っていなくても、侵入されている可能性はあります。
怪しいログがあれば、侵入されていること確実です。


私も、root パスワードが通らないという症状を見たことがあります。
ちなみにブートローダは lilo、他のアカウントからの su は通りました。

オフラインで使っていたマシンでした。
グラフィカルログインを使用していた為、キーボードの不一致が原因だろうと結論付けました。
コンソールからのログインが確実です。


しまじろうさんのおっしゃる通り、今のうちなら、再インストールが手っ取り早いです。

気をつけることとして、マシン構成をシンプルな状態にしてインストールを行なうことをお勧めします。
・最初はビデオカードのみ
・インストールが終わったら、カード(LANカード等)を1枚ずつ認識させる。
・オフライン上で、サービス起動/停止の設定を行なう。
・tcp_wrapper (xinetd)を導入する。
・最後に、LANケーブルを本体に繋げる。

リスクを最小限に食い止めるためです。
念を入れ、時間をかけて行なってください。


意図がよくわからないので教えていただけますでしょうか?

No.4781 投稿時間:2002年08月26日(Mon) 13:42 投稿者名:しまじろう URL:

> 帯鯖@名古屋です。
>
> > サーバーを立ち上げました。やれやれと思ってしばらくテスト稼働させていて、ある日rootでログイン
> > しようとするとパスワードがはねられてしまいます。
> > 一般ユーザーでログインすると/homeの中に誰か別のユーザーが
> > 登録したユーザーディレクトリが出来ています。
>
> 「ある日突然」「/homeに別のユーザ」となると、外部から侵入された可能性が高いでしょうね。
> ログを調べてください。コマンド例として、
> $ last | less
> $ less /var/log/messages (スーパーユーザ権限が必要)
> $ less /var/log/secure (スーパーユーザ権限が必要)
> $ history | less (その権限でのコマンド履歴が見れます)
>
> 「進入する者は足跡を消す」のが常識ですので、ログが残っていなくても、侵入されている可能性はあります。
> 怪しいログがあれば、侵入されていること確実です。
>
>
> 私も、root パスワードが通らないという症状を見たことがあります。
> ちなみにブートローダは lilo、他のアカウントからの su は通りました。
>
> オフラインで使っていたマシンでした。
> グラフィカルログインを使用していた為、キーボードの不一致が原因だろうと結論付けました。
> コンソールからのログインが確実です。
>
>
> しまじろうさんのおっしゃる通り、今のうちなら、再インストールが手っ取り早いです。
>
> 気をつけることとして、マシン構成をシンプルな状態にしてインストールを行なうことをお勧めします。
> ・最初はビデオカードのみ
> ・インストールが終わったら、カード(LANカード等)を1枚ずつ認識させる。
> ・オフライン上で、サービス起動/停止の設定を行なう。
> ・tcp_wrapper (xinetd)を導入する。
> ・最後に、LANケーブルを本体に繋げる。
>
> リスクを最小限に食い止めるためです。
> 念を入れ、時間をかけて行なってください。

一般ユーザーで確認出来るログの閲覧はいたしましたが怪しい物は見つかりませんでした。
足跡を消したりするのですか?・・・・・こわ~い。

> ・オフライン上で、サービス起動/停止の設定を行なう。

これはサービスの起動・停止を回線を接続しない状態でおこなうということでしょうか?
この意図がよくわからないので教えていただけますでしょうか?
なにか違いがあるのでしょうか?

なにぶん素人ゆえ詳しく教えていただけると助かります。


リスク軽減のため。

No.4805 投稿時間:2002年08月27日(Tue) 02:18 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> これはサービスの起動・停止を回線を接続しない状態でおこなうということでしょうか?
> この意図がよくわからないので教えていただけますでしょうか?

回線を接続したままセットアップなどに時間を掛けていると、それだけセキュリティ的に、野放し状態が続くことになります。
きちんと対策を取って、最後に回線を繋げば、それだけリスクも減ります。

「IIS インストール中に Nimda に感染…」とはよく聞いた話です。これと同じ。

サービスは、回線を接続しなくても起動/停止ができます。
httpd や named は一部機能しませんが、後から回線を繋げれば、あるいは回線を繋げてリブートすれば、問題なく起動します。
tcp_wrapper (xinetd)も、回線を繋げない状態で起動できます。

なるべく、野放し状態を作らないことが大切です。
頑張ってください。


インストールひとつにもノウハウがあるんですね!

No.4816 投稿時間:2002年08月27日(Tue) 14:20 投稿者名:しまじろう URL:

> 帯鯖@名古屋です。
>
> > これはサービスの起動・停止を回線を接続しない状態でおこなうということでしょうか?
> > この意図がよくわからないので教えていただけますでしょうか?
>
> 回線を接続したままセットアップなどに時間を掛けていると、それだけセキュリティ的に、野放し状態が続くことになります。
> きちんと対策を取って、最後に回線を繋げば、それだけリスクも減ります。
>
> 「IIS インストール中に Nimda に感染…」とはよく聞いた話です。これと同じ。
>
> サービスは、回線を接続しなくても起動/停止ができます。
> httpd や named は一部機能しませんが、後から回線を繋げれば、あるいは回線を繋げてリブートすれば、問題なく起動します。
> tcp_wrapper (xinetd)も、回線を繋げない状態で起動できます。
>
> なるべく、野放し状態を作らないことが大切です。
> 頑張ってください。

ほー勉強になります。
考えてもみなかったです。
インストールひとつにもノウハウがあるんですね!

話しが変わりますがウィルスメール対策も必要だと思いつつまだソコまで行く前に
つまずいてしまった私ですがRedHatLinuxに関するウィルスメール対策知ってますでしょうか?
何か良いフリーウェアがありましたら教えていただきたいのですが・・・。


|目次|掲示板|過去ログ目次|▲頁先頭|