Re: bad user name www-data

[Victor Calzado Mayo <vcalzado@cnio.es>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola
On Tuesday 22 April 2003 15:28, soporte wrote:
> Hola:
>
> Trato de aclarar el problema. Hoy no tengo forma de acceder a la máquina.
> Probe con la opción:
>
> rescbf24  root=dev/sda2     y obtuve:

Si te vas fijando en lo que te cuenta....


> ...
> Unknown id: news

De momento el usuario news no es reconocido


> starting printer spooler: lpd.
> Not starting NFS kernel daemon: No exports.
> Starting Samba daemons: nmbd smbd.
> Starting openBSD Secure Shell Server: sshdPrivilege separation user sshd
> does not exist

Tampoco el usuario ssh, vaya, empieza a ser algo sospechoso...

> .
> Starting deferred execution scheduler: atd.
> Starting periodic command scheduler: cron.
> Starting Web Server: apacheapache: bad user name www-data failed
>

Hummmmm, ¿tampoco www-data?



> Debian GNU/linux 3.0 srv2 tty1
>
> srv2 login:
> ....
> He aquí que ningún usuario es reconocido (solo teníamos tres)
>

Y los tres usuarios que habías creado tampoco funcionan....


En principio el problema lo tienes bastante aislado ya, por la razón que sea 
tu máquina no puede leer el /etc/passwd ( ten en cuenta que se queja de que 
no reconoce ids (uids) ) o el /etc/shadow pero parte de las invocaciones que 
el sistema hace para arrancar servicios desde root como otros usuarios no 
requieren de validación de contraseña ( de hecho los usuarios de los 
aplicativos no suelen tener password e incluso para según que ni shell )


> Intento determinar qué paso para que dos servidores que están funcionando
> hace tres meses sin problemas (como servidores de páginas Web con Apache)
> dejan de andar sin motivo conocido por nosotros.

Hummmmmmmmmm, ¿esos servidores ejecutaban un servidor web seguro ( https )?

Ten en cuenta que el historial de seguridad de openssl de un tiempo a esta 
parte está lleno de fallos explotables muchos de ellos desde apache que 
comprometen totalmente la seguridad de un servidor con versiones vulnerables.

¿se ejecutaba diaríamente un apt-get update && apt-get upgrade y se tenían las 
lineas apropiadas que apuntaban a security.debian.org ?



> Un dato: el server funcionaba de manera correcta. Se dio de alta un usuario
> nuevo y se re-arranco el servidor: No anduvo mas.

¿Se arranco después de una caida o se reinció? Puede que sea un simple 
problema de consistencia del sistema de archivos?


¿Se copió convenientemente toda la información necesaria?





Yo optaría por el clásico:

rescbf24  root=/dev/sda2 init=/bin/bash


Comprueba que el archivo de password está en su sitio, comprueba los permisos, 
e incluso arranca directamente desde el cd de rescate, carga el módulo de 
soporte scsi que necesites y ejecuta fsck por si el problema es simplemente 
ese. Desde ahí tienes acceso a todos los errrores que haya generado la 
máquina y demás, aprovecha también para comprobar que la máquina no tiene 
guarradas por ahí, los gusanos que atacaban apache por ssl dejaban scripts en 
/tmp, con lo que el reboot los habrá borrado, en cualquier caso si tienes 
dudas tienes dos opciones, o te dedicas a la práctica forense o reinstalas, 
pero recuerda que un sistema no actualizado es un sistema inseguro por 
definición independientemente de la seguridad de los procedimientos empleados 
para endurecerlo y demás, como consejo, a mi me quito bastantes dolores de 
cabeza cuando surgio el problema con los gusanos de ssl en apache, es 
bastante util montar /tmp en una partición independiente de / y eliminar los 
permisos de ejecución en él, te evitas ejecución de scripts y todos los 
posibles ataques basados en hard links contra nombre de archivos predecibles, 
y también una buena parte de los ataques al sistema de manuales ( man y sus 
comandos auxiliares ). 


un saludo
Victor





>
> Si bien soy nuevo en linux (quizá demasiado) hace veinte años que estoy en
> el tema (hasta ahora con servidores Novell) y creo que lo que nos pasó
> puede relacionarse a virus/troyano/cracker o algo así.
> Cierto es que ambos servidores no tenían instalados paquetes de seguridad
> (no estaban 'endurecidos' como dicen ustedes en la lista)
> Mas allá de todo me gustaría saber con que herramientas defenderme a priori
> (endureciendo el equipo) y cuales son las opciones a posteroiori de un
> problema ( que puede ser de seguridad / hardware, etc. )
>
> Por último quisiera aclarar que sin darnos cuenta llegaron a la lista dos
> mensajes con distinto asunto por un mismo problema porque mi socio y yo
> consultamos cada uno por su cuenta (problemas de timming, pido disculpas)
>
> Espero haberte aclarado mi problema.
>
> Claudio Carramal
> soporte@asd-web.com.ar
> ----- Mensaje original -----
> De: "Matías nnss" <listas@nnss.dre.la>
> Para: <debian-user-spanish@lists.debian.org>
> Enviado: lunes 21 de abril de 2003 16:44
> Asunto: Re: bad user name www-data
>
> > Hola:
> >      Tengo algunas dudas con respecto a tu problema, ¿no tienes ningún
> >      tipo de acceso a tu máquina? ¿incluso probando el usar el CD de
> >      rescate de Debian (opción rescue root=/dev/hdXN o empezar como si
> >      fuera una instalación y luego ir a la segunda terminal del sistema
> > de instalación y montar tu hdXN en mnt)? ¿instalastes algún programa que
> > gestiona/maneja los usuarios ultimamente?
> >      Y por último, por favor no respondas a otros mensajes y luego le
> >      cambies el subject, los hilos quedan desordenados. Tu mail contenía
> >      esta línea (correspondiente a un mensaje que yo mismo postié hace un
> >      rato):
> > References: <[🔎] 53585.200.63.142.221.1050937409.squirrel@nnss.dre.la>
> >
> >
> >
> >
> >
> >
> >
> > --
> > Atentamente, yo <Matías>
> > No a la invación en Irak
> >
> >
> > <cita quien="soporte">
> >
> > > Estimados colegas:
> > >
> > > La semana pasada Tuvimos un problema por fallo de un servidor y no
> > > pudimos acceder mas al equipo.
> > > Encendimos un servidor 'muleto' que tenemos armado, copiamos los datos
> > > y seguimos trabajando.
> > > El día de hoy este equipo dejó de dar servicio (no hay falla de hard) y
> > > al encenderlo no nos deja ingresar.
> > > Uno de los ultimos mensajes que se llega a ver es 'bad user name
> > > www-data' Ahora les pregunto
> > >
> > > ¿Hay alguna forma de grabar en un log los mensajes que saca al bootear?
> > > (les recuerdo que no puedo acceder al disco. Debería poder grabarse a
> > > diskette o algo así)
> > >
> > > Digo esto porque al no poder ver los errores anteriores no tenemos
> > > forma de empezar a trabajar. Gracias
> > >
> > > Claudio Carramal
> > > soporte@asd-web.com.ar
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact
> > > listmaster@lists.debian.org
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
>
> listmaster@lists.debian.org

- -- 
- --
Abril
Uno de los peores meses para andar metiendo al mundo en guerras absurdas
El resto de meses del mismo tipo son: Enero, Febrero, Marzo, Mayo, Junio, 
Julio, Agosto, Septiembre, Octubre, Noviembre y Diciembre. 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+pmHPEzqHF8R72ekRAu93AJ9nItPenwBzC0iVUNuPQt2AEEbunwCfdKbY
WfRKV8IYNyXvFR+H127H7CU=
=QxOZ
-----END PGP SIGNATURE-----