/etc/passwd effacé

Le 02/03/2014 15:42, Alain Vaugham a écrit :

Bonjour la liste,

Suite à une erreur de ma part, j'ai effacé le /etc/passwd d'une
machine distante. J'ai fait cette erreur au cours d'une session ssh.

Je me suis rendu compte de cette erreur car il ne m'était plus possible
de m'identifier sur cette machine comme je le fais habituellement avec
ssh.

Par chance, comme mon canal ssh initial (celui à travers duquel j'avais
fait l'erreur) n'était pas encore fermé, j'ai tenté de restaurer
le /etc/passwd perdu :
# cp -p /etc/passwd- /etc/passwd
# chmod 644 /etc/passwd

Je peux à nouveau m'identifier à distance sur cette machine.

Votre avis m'intéresse :
Est-ce que ma réparation est suffisante?
Est-ce que je peux considérer l'incident comme clos?

Test ta config avec les commandes "pwck" et "grpck" pour vérifier si les
fichiers passwd, shadow, group et gshadow sont cohérents.


--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5313457E.5060406@juliana-multimedia.com

On Sun, 2 Mar 2014 15:42:54 +0100
Alain Vaugham <alain@vaugham.com> wrote:

Est-ce que ma réparation est suffisante?

Non, elle est uniquement suffisante pour le compte root (tjrs:=0),
et certains comptes system dont l'UID a été "gelée" (tjrs le s mêmes
quelque soit le µ, la branche (la distro?)).

Pour les autres comptes, il aurait fallu que l'ordre de création ait
été _exactement_ le même sur les 2 µ pour que les UIDs soient les
mêmes.

--
Q : Tu sais que ton enfant sera plus tard un grand avocat pénaliste lo rsque
ses premiers mots furent "nullum crimen nulla poena sine lege"
M : Tu sais que ton enfant sera plus tard un grand développeur lorsque
ses premiers mots furent "Lorem ipsum dolor sit amet"
Q : o/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302155526.112e166c@anubis.defcon1

--089e0102ee24f3ca6104f3a10648
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

les deux fichiers passwd et passwd- sont sur la même machine et sont
identiques sauf les droits
Le 2 mars 2014 15:55, "Bzzz" <lazyvirus@gmx.com> a écrit :

On Sun, 2 Mar 2014 15:42:54 +0100
Alain Vaugham <alain@vaugham.com> wrote:

> Est-ce que ma réparation est suffisante?

Non, elle est uniquement suffisante pour le compte root (tjrs:=0),
et certains comptes system dont l'UID a été "gelée" (tjrs les mêm es
quelque soit le µ, la branche (la distro?)).

Pour les autres comptes, il aurait fallu que l'ordre de création ait
été _exactement_ le même sur les 2 µ pour que les UIDs soient les
mêmes.

--
Q : Tu sais que ton enfant sera plus tard un grand avocat pénaliste lor sque
ses premiers mots furent "nullum crimen nulla poena sine lege"
M : Tu sais que ton enfant sera plus tard un grand développeur lorsque
ses premiers mots furent "Lorem ipsum dolor sit amet"
Q : o/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302155526.112e166c@anubis.defcon1

--089e0102ee24f3ca6104f3a10648
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<p dir="ltr">les deux fichiers passwd et passwd- sont sur la même machi ne et sont identiques sauf les droits</p>
<div class="gmail_quote">Le 2 mars 2014 15:55, &quot;Bzzz&quot; &lt;<a hr ef="mailto:lazyvirus@gmx.com">lazyvirus@gmx.com</a>&gt; a écrit :<br ty pe="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Sun, 2 Mar 2014 15:42:54 +0100<br>
Alain Vaugham &lt;<a href="mailto:alain@vaugham.com">alain@vaugham.com</a >&gt; wrote:<br>
<br>
&gt; Est-ce que ma réparation est suffisante?<br>
<br>
Non, elle est uniquement suffisante pour le compte root (tjrs:=0),<br>
et certains comptes system dont l&#39;UID a été &quot;gelée&quot; (tj rs les mêmes<br>
quelque soit le µ, la branche (la distro?)).<br>
<br>
Pour les autres comptes, il aurait fallu que l&#39;ordre de création ait< br>
été _exactement_ le même sur les 2 µ pour que les UIDs soient les<b r>
mêmes.<br>
<br>
--<br>
Q : Tu sais que ton enfant sera plus tard un grand avocat pénaliste lorsq ue<br>
    ses premiers mots furent &quot;nullum crimen nulla poena sine lege& quot;<br>
M : Tu sais que ton enfant sera plus tard un grand développeur lorsque<br >
    ses premiers mots furent &quot;Lorem ipsum dolor sit amet&quot;<br>
Q : o/<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:debian-user-french-REQUEST@lists.debian.org">debian- user-french-REQUEST@lists.debian.org</a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto:listmaster@lists.d ebian.org">listmaster@lists.debian.org</a><br>
Archive: <a href="https://lists.debian.org/20140302155526.112e166c@anubis .defcon1" target="_blank">https://lists.debian.org/20140302155526.112e166 c@anubis.defcon1</a><br>
<br>
</blockquote></div>

--089e0102ee24f3ca6104f3a10648--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAFuS2badomPofG4Wr8EXjzWgoHqGYsuFY6u9he7EqKWsndYNNw@mail.gmail.com

On Sun, 02 Mar 2014 15:51:42 +0100
Frederic MASSOT <frederic@juliana-multimedia.com> wrote:

TestE ta config avec les commandes "pwck" et "grpck" pour vérifier
si les fichiers passwd, shadow, group et gshadow sont cohérents.

Ça ne vérifie QUE les cohérences, et encore: les compilation s ou
"remove" des pkgs laissent souvent des users orphelins de $HOME.
Et ça ne verra pas les disparités des UIDs des utilisateurs.

--
Schnaps : Nan mais cette nuit c'était horrible ! J'avais la diarrhà ©e et mon
bébé arrêtait pas de gueuler :( En plus ma chatte était malade >.<
* Beurdiii viens de se connecter
Schnaps : Ils ont criés toute la nuit, j'ai des griffures jusque dans le dos
et l'anus défoncé
Beurdiii : ...
Schnaps : On parlait de ma chatte et de mon bébé hein ._.
Beurdiii : 0.O
Schnaps : J'vais me suicider je revient

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302160120.2c214114@anubis.defcon1

On Sun, 2 Mar 2014 16:07:18 +0100
Belaïd <oblivion.ikiub@gmail.com> wrote:

1- je suis inscrit à la ML et n'ai donc PAS besoin de PM.

les deux fichiers passwd et passwd- sont sur la même machine et
sont identiques sauf les droits

2- effectivement, j'ai lu trop en biais; cependant comme les /etc/*-
sont des backups, il y a des risques de malfunction; tout dépend
de quoi a été ajouté/modifié entre les 2.

--
Soralia: Les boules...
Oxymore: en parlant de boules
Oxymore: Il parait qu'on utilise des couilles de dauphin pour faire
les boules de flipper

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302162506.60064ba3@anubis.defcon1

Le Sun, 2 Mar 2014 15:55:26 +0100,
Bzzz <lazyvirus@gmx.com> a écrit :

On Sun, 2 Mar 2014 15:42:54 +0100
Alain Vaugham <alain@vaugham.com> wrote:

> Est-ce que ma réparation est suffisante?

Non, elle est uniquement suffisante pour le compte root (tjrs:=0),
et certains comptes system dont l'UID a été "gelée" (tjrs les mêmes
quelque soit le µ, la branche (la distro?)).

Pour les autres comptes, il aurait fallu que l'ordre de création ait
été _exactement_ le même sur les 2 µ pour que les UID s soient les
mêmes.

Il ne s'est passé que quelques dizaines de minutes entre l'instant o ù
j'ai effacé /etc/passwd et le moment où je l'ai restauré à   partir de la
même machine :
# cp -p /etc/passwd- /etc/passwd
# chmod 644 /etc/passwd

Pendant ce laps de temps il n'y a eu aucune mise à jour, aucun nouveau
compte user créé, aucun logiciel installé/supprimé.


-----



Le Sun, 2 Mar 2014 16:01:20 +0100,
Bzzz <lazyvirus@gmx.com> a écrit :

On Sun, 02 Mar 2014 15:51:42 +0100
Frederic MASSOT <frederic@juliana-multimedia.com> wrote:

> TestE ta config avec les commandes "pwck" et "grpck" pour vérifier
> si les fichiers passwd, shadow, group et gshadow sont cohérents.

Ça ne vérifie QUE les cohérences, et encore: les compilati ons ou
"remove" des pkgs laissent souvent des users orphelins de $HOME.
Et ça ne verra pas les disparités des UIDs des utilisateurs.

Comme suggéré par Frédéric, j'ai testé la config :
# grpck --> ne retourne rien
# pwck -q ---> ne retourne rien
# pwck -r ---> retourne le même genre d'infos que sur une autre machine
sur laquelle je n'ai pas fait l'erreur de supprimer /etc/passwd :
utilisateur lp : le répertoire « /var/spool/lpd  » n'existe pas
utilisateur news : le répertoire « /var/spool/news  Â» n'existe pas
utilisateur uucp : le répertoire « /var/spool/uucp  Â» n'existe pas
utilisateur www-data : le répertoire « /var/www  » n'existe pas
utilisateur list : le répertoire « /var/list  » n'existe pas
utilisateur irc : le répertoire « /var/run/ircd  » n'existe pas
utilisateur gnats : le répertoire « /var/lib/gnats  Â» n'existe pas
utilisateur nobody : le répertoire « /nonexistent  » n'existe pas
utilisateur ntp : le répertoire « /home/ntp » n'existe pas
pwck : aucun changement



Dois-je être rassuré ou pas?



--
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302163548.289fad06@mach07.localdomain

On Sun, 2 Mar 2014 16:35:48 +0100
Alain Vaugham <alain@vaugham.com> wrote:

Il ne s'est passé que quelques dizaines de minutes entre l'instant
où j'ai effacé /etc/passwd et le moment où je l'ai restaur é à
partir de la même machine :
# cp -p /etc/passwd- /etc/passwd
# chmod 644 /etc/passwd

Ça me marche pas comme ça, c'est quand tu exécutes des modifs
touchant /etc/passwd qu'il est sauvegardé.

Pendant ce laps de temps il n'y a eu aucune mise à jour, aucun
nouveau compte user créé, aucun logiciel installé/supprim é.

Vi, mais si entre les 2 il y a eu, par ex, l'ajout d'un user
dans le system, il ne sera pas présent dans le backup.

Par ailleurs, comment se fait-il que tu n'aies pas au strict
minimum un tarball de /etc en sauvegarde de ce µ?

Dois-je être rassuré ou pas?

Ptêt ben que oui, ptêt ben que non, tout dépend, c'est selon …

--
Boby : Aha, et moi j'nique ta mère !
Nico : Oh non papa.. T'es crade..

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302170310.677fcfc9@anubis.defcon1

Le Sun, 2 Mar 2014 17:03:10 +0100,
Bzzz <lazyvirus@gmx.com> a écrit :

Vi, mais si entre les 2 il y a eu, par ex, l'ajout d'un user
dans le system, il ne sera pas présent dans le backup.

Il n'y a eu aucun ajout de users dans le system.

Par ailleurs, comment se fait-il que tu n'aies pas au strict
minimum un tarball de /etc en sauvegarde de ce µ?

Parce que __dans mon cas présent__ il m'est plus rapide de réinst aller
le système de la machine et de le re-tuner à partir de mes notes/ mes
scripts que d'user le soleil à retrouver le bon tarball dans un
historique et d'avoir l'incertitude qu'il reste d'autres choses
qui m'aient échappées.
Exprimé autrement : 1 heure d'indisponibilité, ça rentre dan s mon plan
de reprise et c'est plus important que le côté pédagogique d e la chose.

> Dois-je être rassuré ou pas?

Ptêt ben que oui, ptêt ben que non, tout dépend, c'est sel on…

ça, ça me convient tout à fait. Je vais redémarrer la m achine et je
verrai bien.

En tout cas, merci de t'être intéressé à mon problà ¨me.


--
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302175114.3b479328@mach07.localdomain

Le 02/03/2014 16:35, Alain Vaugham a écrit :

Il ne s'est passé que quelques dizaines de minutes entre l'instant où
j'ai effacé /etc/passwd et le moment où je l'ai restauré à partir de la
même machine :
# cp -p /etc/passwd- /etc/passwd
# chmod 644 /etc/passwd

Pendant ce laps de temps il n'y a eu aucune mise à jour, aucun nouveau
compte user créé, aucun logiciel installé/supprimé.

Bonjour,

Tu devrais plutôt regarder dans ce cas du côté de /var/backup/passwd
(sauvegarde effectué par /etc/cron.daily/passwd)
Il y a au moins 1 différence entre /etc/passwd effacé et /etc/passwd-.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5313604F.3040806@hermine.no-ip.info

Le Sun, 02 Mar 2014 17:46:07 +0100,
Jacques Daniel <jacques@hermine.no-ip.info> a écrit :

Le 02/03/2014 16:35, Alain Vaugham a écrit :
> Il ne s'est passé que quelques dizaines de minutes entre l'instant
> où j'ai effacé /etc/passwd et le moment où je l'ai resta uré à
> partir de la même machine :
> # cp -p /etc/passwd- /etc/passwd
> # chmod 644 /etc/passwd
>
> Pendant ce laps de temps il n'y a eu aucune mise à jour, aucun
> nouveau compte user créé, aucun logiciel installé/suppri mé.
>

Bonjour,

Bonsoir,

Tu devrais plutôt regarder dans ce cas du côté de /var/bac kup/passwd
(sauvegarde effectué par /etc/cron.daily/passwd)

Je ne connaissais pas ce backup quotidien. Cela m'a permis d'explorer
les fichiers qui y sont déposés.
# ls -l /var/backups/
total 3116
-rw-r--r-- 1 root root 4585 2 janv. 2013 apt.extended_states.0
-rw-r--r-- 1 root root 654 31 déc. 2012 apt.extended_states.1. gz
-rw-r--r-- 1 root root 636 4 nov. 2012 apt.extended_states.2.gz
-rw-r--r-- 1 root root 630 1 nov. 2012 apt.extended_states.3.gz
-rw-r--r-- 1 root root 2226554 1 nov. 2012 aptitude.pkgstates.0
-rw-r--r-- 1 root root 302533 20 févr. 19:16 dpkg.status.0
-rw-r--r-- 1 root root 95232 5 févr. 22:11 dpkg.status.1.gz
-rw-r--r-- 1 root root 94977 19 déc. 01:03 dpkg.status.2.gz
-rw-r--r-- 1 root root 94771 23 oct. 12:56 dpkg.status.3.gz
-rw-r--r-- 1 root root 94221 29 juil. 2013 dpkg.status.4.gz
-rw-r--r-- 1 root root 94215 3 juin 2013 dpkg.status.5.gz
-rw-r--r-- 1 root root 94212 31 mai 2013 dpkg.status.6.gz
-rw------- 1 root root 701 2 janv. 2013 group.bak
-rw------- 1 root shadow 589 2 janv. 2013 gshadow.bak
-rw------- 1 root root 1217 2 janv. 2013 passwd.bak
-rw------- 1 root shadow 1251 2 janv. 2013 shadow.bak

Il y a au moins 1 différence entre /etc/passwd effacé et /etc/p asswd-.

Exact!

# diff /etc/passwd- /var/backups/passwd.bak
27a28

toto:x:1003:1003:Toto,,,:/home/toto:/bin/bash

# diff /etc/passwd /var/backups/passwd.bak
27a28

toto:x:1003:1003:Toto,,,:/home/toto:/bin/bash

Ce compte toto avait été créé pour faire des tests. C'e st
en le détruisant que j'ai dû faire une fausse manip avec pour
conséquence la suppression du /etc/passwd.

J'ai redémarré la machine. Tout semble marcher comme avant.
Après le redémarrage, la différence entre le /etc/passwd ave c son
backup dans /var/backup/ existe toujours. Cela me semble cohérent. Je
surveillerai que demain il n'y aura plus de différence après le
prochain cron.

Pour moi, je crois que l'incident est clos.

Merci beaucoup pour ce post.


--
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140302230158.390fd4b6@mach07.localdomain