unixforum.org

Подскажите кто -нибудь при входе в систему не могу зайти под рутом выдаёт
"Root logins are not allowed", а под другим пользователем заходит =(

(Tarnix @ Суббота, 11 Июня 2005, 22:08) писал(а):при входе в систему не могу зайти под рутом выдаёт "Root logins are not allowed", а под другим пользователем заходит =(

↑

это означает что под рутом логиниться нельзя, и у того, кто так сделал, видимо, были свои соображения на этот счет.
следует войти как пользователь и затем su.

если машина ваша, то кажется в debian этим занимается /etc/security/access.conf.
а удаленно в любом случае не стоит заходить рутом.

Я её пару часов назад установил и вот такая фигня (просто каждый раз su не то получаеться =))
Может это чем-нибудь поможет etc/security/access.conf
# Login access control table.
#
# When someone logs in, the table is scanned for the first entry that
# matches the (user, host) combination, or, in case of non-networked
# logins, the first entry that matches the (user, tty) combination. The
# permissions field of that table entry determines whether the login will
# be accepted or refused.
#
# Format of the login access control table is three fields separated by a
# ":" character:
#
# [Note, if you supply a 'fieldsep=|' argument to the pam_access.so
# module, you can change the field separation character to be
# '|'. This is useful for configurations where you are trying to use
# pam_access with X applications that provide PAM_TTY values that are
# the display variable like "host:0".]
#
# permission : users : origins
#
# The first field should be a "+" (access granted) or "-" (access denied)
# character.
#
# The second field should be a list of one or more login names, group
# names, or ALL (always matches). A pattern of the form user@host is
# matched when the login name matches the "user" part, and when the
# "host" part matches the local machine name.
#
# The third field should be a list of one or more tty names (for
# non-networked logins), host names, domain names (begin with "."), host
# addresses, internet network numbers (end with "."), ALL (always
# matches) or LOCAL (matches any string that does not contain a "."
# character).
#
# If you run NIS you can use @netgroupname in host or user patterns; this
# even works for @usergroup@@hostgroup patterns. Weird.
#
# The EXCEPT operator makes it possible to write very compact rules.
#
# The group file is searched only when a name does not match that of the
# logged-in user. Both the user's primary group is matched, as well as
# groups in which users are explicitly listed.
#
# TTY NAMES: Must be in the form returned by ttyname(3) less the initial
# "/dev/" (e.g. tty1 or vc/1)
#
##############################################################################
#
# Disallow non-root logins on tty1
#
#-:ALL EXCEPT root:tty1
#
# Disallow console logins to all but a few accounts.
#
#-:ALL EXCEPT wheel shutdown sync:LOCAL
#
# Disallow non-local logins to privileged accounts (group wheel).
#
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
#
# Some accounts are not allowed to login from anywhere:
#
#-:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL
#
# All other accounts are allowed to login from anywhere.

Tarnix добавил в 11.06.2005 23:41

#-:ALL EXCEPT root:tty1 может переделать эту строку на
+:ALL EXCEPT root:tty1

(Tarnix @ Суббота, 11 Июня 2005, 22:41) писал(а):+:ALL EXCEPT root:tty1

↑

ну и получите все кроме рута могут логиниться на tty1. та строчка хорошая.

Вы точно локально логинитесь?

Точно =)

А если так?

вообще-то прошу прощения. /etc/security/access.conf используется только при
/etc/pam.d/login:
account required pam_access.so
из коробки оно закоментировано.

зато есть
# Disallows root logins except on tty's listed in /etc/securetty
# (Replaces the `CONSOLE' setting from login.defs)
auth requisite pam_securetty.so

тогда см. /etc/securetty, там перечислены терминалы с которых может входить рут.

Для justuser:
если это тот человек, который стучал, ко мне в асю, то у него в /etc/securetty все норм. Там даже куча всего лишнего.

нагуглил такую же проблему. похоже это последняя дебиановская мода такая.
http://www.netalive.org/codersguild/posts/2214.shtml
http://www.mepis.org/node/5998

justuser добавил в 12.06.2005 00:06

тогда по порядку. начиная с /etc/pam.d/login

Ура!!!!!!!!!! =)

(Tarnix @ Воскресенье, 12 Июня 2005, 0:09) писал(а):Ура!!!!!!!!!! =)

↑

поясни.
с большой вероятностью завтра еще кто-то спросит то же самое (особенно учитывая то что я нагуглил).

рассказывай как лечить :thumbsup:

/etc/kde3/kdm/kdmrc
В этом файле меняешь строку AllowRootLogin=false на
AllowRootLogin=true :megalol:

(justuser @ Суббота, 11 Июня 2005, 23:06) писал(а):нагуглил такую же проблему. похоже это последняя дебиановская мода такая.
http://www.netalive.org/codersguild/posts/2214.shtml

↑

Угу. Последняя-распоследняя. "Debian 2.2r2" -- свежее некуда.. Не знаю, там может такое и было (из постов это не следует), но начиная с 3.0 с securetty по умолчанию всё нормально.

Что-то я не понял
Это при каком ранлевеле такое? При третьем чтоли?

(serg_sk @ Воскресенье, 12 Июня 2005, 18:41) писал(а):Что-то я не понял 
Это при каком ранлевеле такое? При третьем чтоли?

↑

А угадай Если учесть, что проблема окащалась в настройках kdm

и при чем тут securetty?... наверное при неправильно заданном вопросе.

Ну если кдм, то при пятом. Значит автору стоит почитать как правильно задавать вопросы.

2Tarnix:

никогда не работайте в иксах под рутом

(serg_sk @ Воскресенье, 12 Июня 2005, 19:48) писал(а):Значит автору стоит почитать как правильно задавать вопросы.

↑

Учитывая объём этого текста, я всегда его воспринимал как наказание тем, кто не умеет задавать вопросы сам

(serg_sk @ Воскресенье, 12 Июня 2005, 19:48) писал(а):Ну если кдм, то при пятом.

↑

в debian по умолчанию - runlevel #2
с запуском *dm и т.д и т.п.

(justuser @ Воскресенье, 12 Июня 2005, 19:55) писал(а):2Tarnix:

никогда не работайте в иксах под рутом

↑

я бы даже написал это большими красными буквами:
никогда не работайте в иксах под рутом

sash-kan писал(а): ↑

13.06.2005 13:54

в debian по умолчанию - runlevel #2
с запуском *dm и т.д и т.п.

На каком уровне исполнения "многопользовательский режим с сетью" по аналогии 3-го уровня у RH ? А то просмотрел содержимое rc_xxx.d и на всех уровнях кроме 0 и 6 вижу по везде увидел одно и
же, т.е. автоматический старт xdm. И еще вопросик, какая у дебьяна команда в консоли является аналогом редхатовского chkconfig, т.е. позволяет рулить запуском служб?
Пардон за чайничество, второй день за САРЖем.

На каком уровне исполнения "многопользовательский режим с сетью" по аналогии 3-го уровня у RH ? А то просмотрел содержимое rc_xxx.d и на всех уровнях кроме 0 и 6 вижу по везде увидел одно и
же, т.е. автоматический старт xdm.

Если нужно убрать старт xdm, то это либо
apt-get remove xdm
либо
update-rcd -f xdm remove
по желанию. Debian Way -- первый способ.

И еще вопросик, какая у дебьяна команда в консоли является аналогом редхатовского chkconfig, т.е. позволяет рулить запуском служб?

update-rc.d
invoke-rc.d

SHEVA писал(а): ↑

28.09.2005 22:29

И еще вопросик, какая у дебьяна команда в консоли является аналогом редхатовского chkconfig, т.е. позволяет рулить запуском служб?
Пардон за чайничество, второй день за САРЖем.

rcconf

2 Cap. J2A & Wardener

Спасибо, добрые люди.
Простите за маленький офтопик, может это ошибочное впечатление, но не кажется ли вам, что "Debian way" склоняется к пути "SuSe way" ? Та же автоматизация настроек с помощью специализированного семейства утилит. И обилие конфигурационных файлов c надписями - "не редактировать вручную" и их специфический формат (XML-? SGML -?).

ЗЫ: Не вижу в этом ничего дурного, т.к. очевидно, что это разумный способ адаптироваться к сложности и комплексности нынешнего программного обеспечения, когда изменение в одном "месте" затрагивает чорт те ещё знает чего...

Tarnix писал(а): ↑

12.06.2005 17:05

/etc/kde3/kdm/kdmrc
В этом файле меняешь строку AllowRootLogin=false на
AllowRootLogin=true :megalol:

В моем "экспериментальном" Кубунту то же самое, кстати. Я особо не заморачивался, потому что не к спеху, но вашим опытом воспользуюсь, спасибо.

Простите за маленький офтопик, может это ошибочное впечатление, но не кажется ли вам, что "Debian way" склоняется к пути "SuSe way" ? Та же автоматизация настроек с помощью специализированного семейства утилит. И обилие конфигурационных файлов c надписями - "не редактировать вручную"

Ни разу не видел конфига с надписью "не трогать этот файл", видел только надписи "не трогать эту строку", т.к. по "этой строке" конфигуятор определяет поработал он уже над этим файлом или нет. А сравнение с Сусе вовсе неуместно, т.к. дебиановская автоматизация вовсе не мешае ручной правке конфигов.

t.t писал(а): ↑

29.09.2005 13:51

Простите за маленький офтопик, может это ошибочное впечатление, но не кажется ли вам, что "Debian way" склоняется к пути "SuSe way" ? Та же автоматизация настроек с помощью специализированного семейства утилит. И обилие конфигурационных файлов c надписями - "не редактировать вручную"

Ни разу не видел конфига с надписью "не трогать этот файл", видел только надписи "не трогать эту строку", т.к. по "этой строке" конфигуятор определяет поработал он уже над этим файлом или нет. А сравнение с Сусе вовсе неуместно, т.к. дебиановская автоматизация вовсе не мешае ручной правке конфигов.

Абсолютно согласен. Благо рулю семью машинами под debian, в подавляющем большинстве всё делается руками, и надписей о том, что править этот файл руками нельзя - не видел.