PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : root eintrag



UniX
12.05.2003, 08:48
Morgen!

Mir ist heute etwas aufgefallen als ich den befehl who aufgerufen habe.
Ich bin als lxuser eingeloggt und wenn ich who aufrufe steht dort

lxuser :0 May 12 08:43 (console)
lxuser pts/0 May 12 08:43
root pts/0 May 12 08:43 (:0.0)

Was soll dieser root auf der liste?
Was bedeutet dieser root eintrag?

Gruß UniX

ookami
12.05.2003, 17:29
Original geschrieben von UniX

lxuser :0 May 12 08:43 (console)
lxuser pts/0 May 12 08:43
root pts/0 May 12 08:43 (:0.0)


du bist unter x?

der x-server braucht unter linux root rechte ;)

Andre
12.05.2003, 19:26
also daran kanns normal nicht liegen...hab keinen solchen root einrag ?(


[linus@FuckUp linus]$ who
linus :0 May 12 07:55
linus pts/0 May 12 07:56
linus pts/1 May 12 19:24

oenone
12.05.2003, 23:34
hast du vielleicht su oder so benutzt ?

tomvomland
13.05.2003, 11:13
Der X-Server läuft zwar als root, die Pseudo-Terminals (zB. xterm), auf denen der User eingeloggt ist, laufen aber unter dem User, der Sie gestartet hat .


Original geschrieben von oenone
hast du vielleicht su oder so benutzt ?

daran liegts nicht, ich hab's gerade versucht.

Ich will ja jetzt nicht die Pferde scheu machen, Unix, aber ich würde mir an Deiner stelle langsam Sorgen machen, ob jemand den Rechner gehackt hat.

cu
tom

UniX
13.05.2003, 12:54
@ tomvomland
Warum gehackt?

lxuser :0 May 12 08:43 (console)
lxuser pts/0 May 12 08:43
root pts/0 May 12 08:43 (:0.0)

Wenn der Xserver auf root läuft dann ist dieser root eintrag der X Server oder? Ich bin im windowmaker und habe xterm offen.

lxuser :0 May 12 08:43 (console) == xterm
lxuser pts/0 May 12 08:43 == ?
root pts/0 May 12 08:43 (:0.0) == xserver

oder intepretiere ich das falsch?
Aber was ist dann der 2. lxuser Eintrag?

Gruß UniX

ookami
13.05.2003, 13:48
varg:> who <~>
varg ttyC1 May 13 13:43
varg ttyp0 May 13 13:43 (:0.0)
varg ttyp1 May 13 13:44 (:0.0)


also bei mir läuft der x-server nicht mit root rechten :p

ist ja auch kein linux

cu

tomvomland
13.05.2003, 15:19
Also, man sieht auf Linux auch keinen User root, wenn er nicht angemeldet ist, und wenn X 10mal mit root-rechten läuft. Sonst würde man ja für jeden Prozess, der mit root-Rechten gestartet wird (apache, bind usw.), mit who einmal den User root sehen.

zur Erklärung :

tom@lx104b16:~> who
tom pts/0 May 13 11:06 # ein pts = Pseudoterminal = xterm, eterm usw.
tom pts/1 May 13 14:58 # ein pts = Pseudoterminal = xterm, eterm usw.
tom :0 May 13 11:06 (console) # Das X auf :0
tom pts/2 May 13 15:05 # ein pts = Pseudoterminal = xterm, eterm usw.
tom pts/3 May 13 13:21 # ein pts = Pseudoterminal = xterm, eterm usw.
tom :1 May 13 15:05 (localhost) # Das X auf :1, wenn man mal 2 iXe laufen hat

Bei mir war das 1. X eine KDE und auf dem 2. lief windowmaker. Aber dur siehst kein root!

Kleiner Tip:
Setze mal als Root den Befehl
find /dev/ -type f
ab. Viele RootKits legen unter /dev Dateien ab.

oenone
13.05.2003, 20:00
was für ne distribution hast du ?

das root kommt, wenn du irgendwo in ner konsole als root eingeloggt bist, oder z.b. ein xterm als root gestartet hast.

bei mir sieht das so aus (xterm als root gestartet):

oenone tty1 May 13 19:50
oenone pts/0 May 13 19:51
root pts/3 May 13 20:03 (:0.0)

gib mal "w" ein, da wird mit angegeben, was für ein prozess das ist.

auf bald
oenone

tomvomland
14.05.2003, 08:31
Na wehe dem UniX, wenn er irgendwo als root eingeloggt war, ohne es uns zu sagen....

Aber Spass beseite. Komisch ist bei UniX' Computer halt, dass root und der lxuser auf demselben pts eingeloggt sind. Das ist ja bei Dir anders, oenone.

UniX
14.05.2003, 11:06
Hallo Zusammen!

@tomvomland
Natürlich ich will euch ärgern :D

Spass bei seite. Ich habe das ganze mal näher betrachtet und habe folgendes festgestellt.

Wenn ich meinen Computer starte und mich das erste mal als lxuser anmelde dann ist kein root eintrag vorhanden. Wenn ich mich aber wieder auslogge als root einlogge - widerrum auslogge und mich als lxuser einlogge dann ist ein root eintrag vorhanden. Ich schliesse daraus das irgendein prozess von der vorhergehenden root session nicht beendet wurde, oder liege ich da falsch?

Wie kann ich herausfinden was genau hinter diesem root eintrag steht

Gruß UniX

tomvomland
14.05.2003, 11:29
Hi,

also ich habe ein bisschen 'rumprobiert und habe ähnliche Effekte beobachtet wie du. Auch für normale User zeigt who noch sessions auf Pseudo Terminals an, die schon längst geschlossen sind. "w" macht das nicht.

Ich habe eben mal knoppix von CD gebootet. Hier meldet man sich ja -wie ihr wisst - garnicht an und landet direkt in der KDE. who Zeigt hier konsequenterweise auch keinen angemeldeten Benutzer an.

Um dem Problem auf den Grund gehen zu können, müsste man erst einmal herauskreigen, woher who und w ihre Daten bekommen. Offensichtlich nicht aus der Prozessliste.....

UniX
14.05.2003, 15:26
Schon witzig das ganze!
vieleicht ist es ein nocht nicht entdeckter BUG! OK so weit will ich nicht gehen, aber das diese Daten so unterschiedlich sind ist schon witzig!

Gruß UniX