| View previous topic :: View next topic |
| Author |
Message |
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
 Posted: Mon Mar 12, 2007 6:22 pm Post subject: [Risolto] [Apache] dubbio/anomalia su USE flags -no-suexec% |
 |
|
Buon giorno
ho 2 macchine, una di svliluppo/test e una di produzione.
Le due macchine sono costantemente allienate, sia per i files di configurazione che per i binari.
(L'unica differenza è che sulla macchina di svlipuppo c'è mysql 5 e su quella di produzione il 4)
Mi sono accorto che con il comando:
sulla macchina di sviluppo ho questo output:
| Code: |
[ebuild R ] net-www/apache-2.0.58-r2 USE="apache2 ldap ssl threads -debug -doc -mpm-itk -mpm-leader -mpm-peruser -mpm-prefork -mpm-threadpool -mpm-worker (-selinux) -static-modules (-no-suexec%)" 4,652 kB |
sulla macchina di produzione ho questo output:
| Code: | [ebuild R ] net-www/apache-2.0.58-r2 USE="apache2 ldap ssl threads -debug -doc -mpm-itk -mpm-leader -mpm-peruser -mpm-prefork -mpm-threadpool -mpm-worker (-selinux) -static-modules" 4,652 kB
|
la differenza è in -no-suexec% da cosa puo' dipendere?
Grazie,
Alessandro
Last edited by taiger on Fri Mar 16, 2007 6:52 pm; edited 1 time in total |
|
| Back to top |
|
 |
Scen
Retired Dev
Joined: 29 Jul 2003
Posts: 2470
Location: Padova, Italy
|
| Posted: Mon Mar 12, 2007 6:37 pm Post subject: |
|
|
Quel (-no-suexec%) vuol dire che al momento dell'installazione quell'ebuild aveva quella USE flag disponibile, mentre adesso no. Nella seconda macchina probabilmente non ti compare poichè hai installato apache DOPO la rimozione di quella USE dall'ebuild.
http://sources.gentoo.org/viewcvs.py/*checkout*/gentoo-x86/net-www/apache/ChangeLog
| Quote: |
20 Sep 2006; Michael Stewart <vericgar@gentoo.org>
apache-1.3.34-r10.ebuild, apache-1.3.34-r11.ebuild,
apache-1.3.34-r14.ebuild, apache-1.3.37.ebuild, apache-2.0.54-r31.ebuild,
apache-2.0.58.ebuild, apache-2.0.58-r2.ebuild, apache-2.0.59.ebuild:
Remove no-suexec USE-flag from 1.3 and 2.0 as it's broken and requires
modification to configuration to get it working. Fixes bug 148082.
|
_________________
I was born in a deep forest/I wish I could live here all my life/I am made from stones and roots/My home, these woods and roads
All my life I loved this sound/Of the woods all around/Eagles flies where the winds blows free
Journey is my destiny |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Wed Mar 14, 2007 8:25 pm Post subject: |
|
|
grazie mille
ho messo questo post perchè ho un problema che non riesco proprio a risolvere.
Sulla macchina di produzione non riesco più a vedere le statistiche awstats.
Riportando tutto sulla macchina di sviluppo funziona tutto, sulla macchina in produzione niente da fare. Le sto provando tutte.
L'unica differenza era quel flag, non avevo ancora capito cosa indicasse li simbolo %
ho già aperto un topic in Networking & Security senza successo
https://forums.gentoo.org/viewtopic-t-544831-highlight-awstats.html
i log mi danno sempre questo errore:
| Code: | (13)Permission denied: exec of '/usr/share/webapps/awstats/6.5-r1/hostroot/cgi-bin/awstats.pl' failed
Premature end of script headers: awstats.pl |
Qualche idea.
Grazie.
Saluti Alessandro |
|
| Back to top |
|
|
LastHope
Apprentice
Joined: 11 May 2005
Posts: 237
Location: Mordor
|
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Wed Mar 14, 2007 10:01 pm Post subject: |
|
|
Grazie mille, ma questi posto li avevo già letti 
Sono quasi disperato, ho rigirato tutto , permessi, spostato directory, sovrascritto tutti i file di configurazione con quelli che ho sulla macchina di produzione dove funziona tutto.
Ho ricompilato apache, perl, reinstallato da capo awstats.
Le ho provate proprio (quasi?!) tutte.
La cosa tragica è che ha funzionato tutto per più di un anno.
Poi senza aggioramenti diretti su apache o perl ha smesso di funzionare.
L'unica cosa è che c'è stato un riavvio della macchina (cosa che avviene molto/molto di rado) più o meno in concomitanza con questo malfunzionamento.
Boh,
Scusate lo sfogo... 
ma già domani mattina mi aspetto le telefonate dei clienti che cominciano ad incazzarsi 
Ciao |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Thu Mar 15, 2007 9:22 am Post subject: |
|
|
potrebbe essere un malfunzionamento dovuto ad un hacker?
seconda anomalia, dopo il riavvio di ieri non parte neache postgresql , anche questo con un permission denied
| Code: | /etc/init.d/postgresql start
* Starting PostgreSQL ...
/sbin/start-stop-daemon: Unable to start /usr/bin/postmaster: Permission denied (Permission denied) [ !! ] |
|
|
| Back to top |
|
|
drizztbsd
Retired Dev
Joined: 21 Nov 2004
Posts: 278
Location: Cesano Maderno
|
| Posted: Thu Mar 15, 2007 10:27 am Post subject: |
|
|
| taiger wrote: | | potrebbe essere un malfunzionamento dovuto ad un hacker? |
un hackeraccio (si dice cracker) cattivo  ?
cmq controlla se /usr/bin/postmaster è +x (ls -l /usr/bin/postmaster)
per caso usi hardened selinux o grsec?
_________________
Gentoo/Alt lead
Gentoo/*BSD and Gentoo/FreeBSD deputy lead
Paludis contributor |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Thu Mar 15, 2007 11:27 am Post subject: |
|
|
| Drizzt Do` Urden wrote: | | taiger wrote: | | potrebbe essere un malfunzionamento dovuto ad un hacker? |
un hackeraccio (si dice cracker) cattivo ?
cmq controlla se /usr/bin/postmaster è +x (ls -l /usr/bin/postmaster)
per caso usi hardened selinux o grsec? |
con questo comando :
ls -l /usr/bin/postmaster
| Quote: | | lrwxrwxrwx 1 root root 8 Mar 15 10:24 /usr/bin/postmaster -> postgres |
e ho installato postgresql con:
| Code: | | [ebuild R ] dev-db/postgresql-8.0.12 USE="kerberos nls pam perl python readline ssl xml zlib -doc -pg-intdatetime (-selinux) -tcl -test" 0 kB |
non uso selinux... (anche se prima o poi lo farò)
funzionava tutto da molto tempo,
ma chiedo: ci sono stati aggiornamenti particolari su PAM?
Grazie
P.S. grazie per la precisazione su hacker/cracker, avevo dimenticato l'importanza |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Thu Mar 15, 2007 12:35 pm Post subject: |
|
|
se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".
i permessi di postgres invece quali sono?
Non è che hai var montata noexec?
Per caso hai modificato qualcosa in passwd/shadow/groups?
Hai krb4 attiva? (ci sono dei problemi con kth-krb)
prova con findcruft a vedere se non ti è rimasto qualcosa da una precedente versione.
| Quote: | | non uso selinux... (anche se prima o poi lo farò) |
 auguri.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Thu Mar 15, 2007 4:29 pm Post subject: |
|
|
| djinnZ wrote: | | se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali". |
ho fatto girare rkhunter, e non ha trovato nulla di anomalo
| Quote: |
i permessi di postgres invece quali sono?
Non è che hai var montata noexec?
|
il mio fstab è molto semplice
| Code: | # <fs> <mountpoint> <type> <opts> <dump/pass>
# NOTE: If your BOOT partition is ReiserFS, add the notail option to opts.
/dev/sda1 /boot ext2 noauto,noatime 1 2
/dev/sda3 / ext3 noatime 0 1
/dev/sda2 none swap sw 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
#/dev/fd0 /mnt/floppy auto noauto 0 0
# NOTE: The next line is critical for boot!
proc /proc proc defaults 0 0
# glibc 2.2 and above expects tmpfs to be mounted at /dev/shm for
# POSIX shared memory (shm_open, shm_unlink).
# (tmpfs is a dynamically expandable/shrinkable ramdisk, and will
# use almost no memory if not populated with files)
shm /dev/shm tmpfs nodev,nosuid,noexec 0 0 |
| Quote: | | Per caso hai modificato qualcosa in passwd/shadow/groups? |
anche io ho pensato a questo, allora ho cancellato l'utente postgres, e ho fatto di nuovo emerge di postgresql, così da fargli riaggiungere in automatico l' utente/gruppo.
Il problema non si è risolto.
| Quote: | | Hai krb4 attiva? (ci sono dei problemi con kth-krb) |
dopo questo tua segnalazione o tolto la useflag "kerberos", che comunque non usavo,
ho ricompilato ma ancora niente
| Quote: | | prova con findcruft a vedere se non ti è rimasto qualcosa da una precedente versione. |
nessun file postgres obsoleto.
Grazie per le molte dritte.
Un ultimo elemento è che ora postgres gira, perchè ne ho compilato una versione a mano e l'ho lanciata a mano come utente postgres.
Questo mi fa pensare che ci sia proprio qualcosa di strano nel sistema/ambiente gentoo.
Ora provo a disabilitare anche PAM.
Ciao e grazie ancora |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Thu Mar 15, 2007 4:54 pm Post subject: |
|
|
ho fatto emerge di postgresql e spostato la directory dei dati per postgresql.
Lanciando la configurazione:
| Code: | x2 local # emerge --config =postgresql-8.0.12
Configuring pkg...
* Creating the data directory ...
* Initializing the database ...
* QA Notice: USE Flag 'kernel_linux' not in IUSE for dev-db/postgresql-8.0.12
/bin/bash: /usr/bin/initdb: Permission denied
*
* You can use the '//etc/init.d/postgresql' script to run PostgreSQL instead of 'pg_ctl'.
*
|
Sempre più ingarbugliato.
|
|
| Back to top |
|
|
drizztbsd
Retired Dev
Joined: 21 Nov 2004
Posts: 278
Location: Cesano Maderno
|
| Posted: Thu Mar 15, 2007 5:02 pm Post subject: |
|
|
| djinnZ wrote: | se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".
|
In teoria c'erano anche diversi worm del genere, che provano admin:admin root:root etc
_________________
Gentoo/Alt lead
Gentoo/*BSD and Gentoo/FreeBSD deputy lead
Paludis contributor |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Thu Mar 15, 2007 6:51 pm Post subject: |
|
|
| Drizzt Do` Urden wrote: | | djinnZ wrote: | se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".
|
In teoria c'erano anche diversi worm del genere, che provano admin:admin root:root etc |
Magari... Sta a provare su "Administrator" password casuali il bestia (almeno l'ulitima volta che ho fatto la prova con il modem era così), non è che mi preoccupa che possa entrare è che il mio router è un tantino una ciofeca e se lo bombarda di richieste sulla porta 80 o su quelle SMB si blocca e devo andare a spegnerlo.
Anche se l'idea di un worm nella cloaca di rete di uno dei miei stradannati colleghi non è da escludere, non ci avevo pensato, ho anche a mente il soggetto (mi collegai dal suo studio sull'ftp una volta).
Nel caso latitassi troppo a lungo pensate ad una colletta per mandarmi una stecca di sigarette in cella.
@taiger
problemi non dovresti averne quindi. Non c'è la certezza assoluta (come potrà sempre cadere un meteorite gigante che ci estingua, le probabilità sono nello stesso ordine) ma almeno gli script kiddie e gli hàchérr li puoi escludere. E non credo che un vero cracker abbia da perder tempo a farti dannare in questo modo.
Se non ti serviva il kerberos hai fatto bene ad eliminarlo ma il problema che avevo riportato era specificatamente legato a krb4 che attiva kth-krb che su alcuni sistemi e con elevata ottimizzazione o non riesci a compilarlo o funziona male bloccandosi.
Più che pam mi sembra un problema di sudo se è installato. Si direbbe che il substitute non funga. (e qui non ho idea del perchè)
Ma postgres non doveva essere un utente nologin?
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Fri Mar 16, 2007 9:09 am Post subject: |
|
|
l'ultima nota della saga
| Quote: |
x3 ~ # /etc/init.d/apache2 start
* Caching service dependencies ... [ ok ]
* Starting PostgreSQL ...
/sbin/start-stop-daemon: Unable to start /usr/bin/postmaster: Permission denied (Permission denied) |
aiuto!!!
sto lanciando emerge -e system
ma sono alla frutta. |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Fri Mar 16, 2007 9:51 am Post subject: |
|
|
posta
| Code: | | ls -ld / /usr /usr/bin |
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Fri Mar 16, 2007 4:38 pm Post subject: |
|
|
| Code: | x3 ~ # ls -ld / /usr /usr/bin
drwxr-xr-x 18 root root 4096 Mar 14 21:49 /
drwxr-xr-x 13 root root 4096 Dec 12 2005 /usr
drwx------ 2 root root 16384 Mar 16 12:48 /usr/bin
|
considera che ho dato emerge -e system questa mattina
grazie |
|
| Back to top |
|
|
Dun
Apprentice
Joined: 17 Apr 2004
Posts: 172
Location: Amsterdam (NL) / Venice (IT)
|
| Posted: Fri Mar 16, 2007 5:16 pm Post subject: |
|
|
Guarda cosa mi da a me
| Code: |
drwxr-xr-x 20 root root 464 2007-03-02 20:29 /
drwxr-xr-x 20 root root 560 2007-01-17 14:44 /usr/
drwxr-xr-x 2 root root 83984 2007-03-15 20:08 /usr/bin/
|
|
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Fri Mar 16, 2007 5:58 pm Post subject: |
|
|
porca miseria!!!
come si fa a vedere chi l'ha fatto?
E' una possibile azione da cracker? una vulnerabilità? (permettimi la battuta: Sicuramente è una makoomba!)
ho dovuto dare l'account ad un tipo della webfarm per installare il software di backup Tivoli, a questo punto puo' esser stato lui?!?
nella history i suoi comandi non ci sono più.
beh, grazie mille,
ne sto venendo a capo spero... |
|
| Back to top |
|
|
Dun
Apprentice
Joined: 17 Apr 2004
Posts: 172
Location: Amsterdam (NL) / Venice (IT)
|
| Posted: Fri Mar 16, 2007 6:04 pm Post subject: |
|
|
Basta un chmod sbagliato  |
|
| Back to top |
|
|
taiger
Tux's lil' helper
Joined: 25 Nov 2003
Posts: 112
|
| Posted: Fri Mar 16, 2007 6:21 pm Post subject: |
|
|
lo so lo so
ma ora funziona tutto di nuovo anche le statistiche di awstats.
Devo invitare a cena makoomba!
Makoomba ti devo una cena!
Ciao |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Fri Mar 16, 2007 6:32 pm Post subject: |
|
|
| taiger wrote: | | Makoomba ti devo una cena! |
una birrozza mi basta, se capita
ps
aggiungi il tag [risolto] al titolo del topic
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
|
Forum italiano (Italian)
