Re: /etc/passwd effacé

To: debian-user-french@lists.debian.org
Subject: Re: /etc/passwd effacé
From: Alain Vaugham <alain@vaugham.com>
Date: Sun, 2 Mar 2014 23:01:58 +0100
Message-id: <[🔎] 20140302230158.390fd4b6@mach07.localdomain>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 5313604F.3040806@hermine.no-ip.info>
References: <[🔎] 20140302154254.7067b11f@mach07.localdomain> <[🔎] 20140302155526.112e166c@anubis.defcon1> <[🔎] 20140302163548.289fad06@mach07.localdomain> <[🔎] 5313604F.3040806@hermine.no-ip.info>

Le Sun, 02 Mar 2014 17:46:07 +0100,
Jacques Daniel <jacques@hermine.no-ip.info> a écrit :

> Le 02/03/2014 16:35, Alain Vaugham a écrit :
> > Il ne s'est passé que quelques dizaines de minutes entre l'instant
> > où j'ai effacé /etc/passwd et le moment où je l'ai restauré à
> > partir de la même machine :
> > # cp -p /etc/passwd- /etc/passwd
> > # chmod 644 /etc/passwd
> > 
> > Pendant ce laps de temps il n'y a eu aucune mise à jour, aucun
> > nouveau compte user créé, aucun logiciel installé/supprimé.
> > 
> 
> Bonjour,
Bonsoir,


> Tu devrais plutôt regarder dans ce cas du côté de /var/backup/passwd
> (sauvegarde effectué par /etc/cron.daily/passwd)

Je ne connaissais pas ce backup quotidien. Cela m'a permis d'explorer
les fichiers qui y sont déposés.
# ls -l /var/backups/
total 3116
-rw-r--r-- 1 root root      4585  2 janv.  2013 apt.extended_states.0
-rw-r--r-- 1 root root       654 31 déc.   2012 apt.extended_states.1.gz
-rw-r--r-- 1 root root       636  4 nov.   2012 apt.extended_states.2.gz
-rw-r--r-- 1 root root       630  1 nov.   2012 apt.extended_states.3.gz
-rw-r--r-- 1 root root   2226554  1 nov.   2012 aptitude.pkgstates.0
-rw-r--r-- 1 root root    302533 20 févr. 19:16 dpkg.status.0
-rw-r--r-- 1 root root     95232  5 févr. 22:11 dpkg.status.1.gz
-rw-r--r-- 1 root root     94977 19 déc.  01:03 dpkg.status.2.gz
-rw-r--r-- 1 root root     94771 23 oct.  12:56 dpkg.status.3.gz
-rw-r--r-- 1 root root     94221 29 juil.  2013 dpkg.status.4.gz
-rw-r--r-- 1 root root     94215  3 juin   2013 dpkg.status.5.gz
-rw-r--r-- 1 root root     94212 31 mai    2013 dpkg.status.6.gz
-rw------- 1 root root       701  2 janv.  2013 group.bak
-rw------- 1 root shadow     589  2 janv.  2013 gshadow.bak
-rw------- 1 root root      1217  2 janv.  2013 passwd.bak
-rw------- 1 root shadow    1251  2 janv.  2013 shadow.bak



> Il y a au moins 1 différence entre /etc/passwd effacé et /etc/passwd-.
> 

Exact!

# diff /etc/passwd- /var/backups/passwd.bak 
27a28
> toto:x:1003:1003:Toto,,,:/home/toto:/bin/bash

# diff /etc/passwd /var/backups/passwd.bak 
27a28
> toto:x:1003:1003:Toto,,,:/home/toto:/bin/bash


Ce compte toto avait été créé pour faire des tests. C'est
en le détruisant que j'ai dû faire une fausse manip avec pour
conséquence la suppression du /etc/passwd.

J'ai redémarré la machine. Tout semble marcher comme avant.
Après le redémarrage, la différence entre le /etc/passwd avec son
backup dans /var/backup/ existe toujours. Cela me semble cohérent. Je
surveillerai que demain il n'y aura plus de différence après le
prochain cron.

Pour moi, je crois que l'incident est clos.

Merci beaucoup pour ce post.


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

Reply to:

References:
- /etc/passwd effacé
  - From: Alain Vaugham <alain@vaugham.com>
- Re: /etc/passwd effacé
  - From: Bzzz <lazyvirus@gmx.com>
- Re: /etc/passwd effacé
  - From: Alain Vaugham <alain@vaugham.com>
- Re: /etc/passwd effacé
  - From: Jacques Daniel <jacques@hermine.no-ip.info>

Prev by Date: Re: /etc/passwd effacé
Next by Date: Re: Certificat CACert
Previous by thread: Re: /etc/passwd effacé
Next by thread: Re: Re: Passer mon système sur SSD - des retours, des avis
Index(es):
- Date
- Thread