karl1990
Anmeldungsdatum: 27. November 2018
Beiträge: 58
|
Hallo zusammen, nach dem Bootvorgang und einloggen öffnet sich direkt ein Fenster von PolicyKit, dass eine Anwendung versucht "/bin/sh" mit Systemverwaltungsrechten auszuführen.
Gibt es eine Möglichkeit zu sehen, welche Anwendung das ist? Bzw. erscheint mir das etwas komisch, weiß einer was das sein könnte? Anbei ein Screenshot. Danke schonmal Gruß
Karl
- Bilder
|
Vej
Moderator, Supporter
Anmeldungsdatum: 7. März 2013
Beiträge: 3391
|
Hallo karl1990, du könntest mal in dein /var/log/auth.log schauen. Da müsste es eine Zeile von pkexec geben, die dir sagt was genau da versucht wurde auszuführen. Viel Erfolg Vej PS: Solltest du selber nicht fündig werden und das hier posten wollen, bitte vorher darüber nachdenken, ob dieses Log nicht sensible oder sicherheitsrelevante Informationen enthält.
|
karl1990
(Themenstarter)
Anmeldungsdatum: 27. November 2018
Beiträge: 58
|
Hi Vej, vielen Dank für deine Hilfe. Ich habe mal nachgeschaut und erhalte folgende: | May 22 15:24:30 karl-PC pkexec[2219]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp_vp7_4sm]
|
Wenn ich "/tmp/" öffne finde ich allerdings nicht "tmp_vp7_4sm" was immer das auch sein mag.....googlen hat dabei leider auch nicht geholfen. Viele Grüße
|
karl1990
(Themenstarter)
Anmeldungsdatum: 27. November 2018
Beiträge: 58
|
Hi, hat niemand eine Idee? Zumindest wie ich das wegbekommen kann Viele Grüße
|
Berlin_1946
Supporter, Wikiteam
Anmeldungsdatum: 18. September 2009
Beiträge: 8697
|
karl1990 schrieb:
hat niemand eine Idee?
doch Vej hat doch was vorgeschlagen. Vej schrieb: Hallo karl1990, du könntest mal in dein /var/log/auth.log schauen. Da müsste es eine Zeile von pkexec geben, die dir sagt was genau da versucht wurde auszuführen.
So sieht der Befehl für den Tipp aus.
sudo cat /var/log/auth.log| grep -i "pkexec*" Bitte auch das mal posten:
dpkg -l | grep -i "pkexec"
Bitte immer im Codeblock von Anfang bis Ende.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13933
|
karl1990 schrieb: May 22 15:24:30 karl-PC pkexec[2219]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp_vp7_4sm] Wenn ich "/tmp/" öffne finde ich allerdings nicht "tmp_vp7_4sm" ...
Zu welchem Zeitpunkt hast Du "/tmp" geöffnet?
|
Berlin_1946
Supporter, Wikiteam
Anmeldungsdatum: 18. September 2009
Beiträge: 8697
|
Hallo karl1990 Führen Sie diesen Befehl aus, um das setuid-Bit von pkexec zu entfernen.
$ chmod 0755 /usr/bin/pkexec
Diesen Tipp habe ich mehrfach im Netz gefunden. Ist dein System aktuell? Was immer zu empfehlen ist: sudo apt-get clean
sudo apt-get update
sudo apt-get dist-upgrade Damit wird der Paketzwischenspeicher geleert, die Paketquellen, die Paketquelleninhalte und Pakete aktualisiert. Wenn zu Schluss nicht 4*0 da steht, dann noch ein
sudo apt-get autoremove --purge
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hallo! Prüfe mal deine Autostart-Möglichkeiten. Ansonsten würde ich wie im Archwiki beschrieben das Logging aktivieren: # Datei /etc/polkit-1/rules.d/00-log-access.rules
polkit.addRule(function(action, subject) {
polkit.log("action=" + action);
polkit.log("subject=" + subject);
});
Quelle: Polkit
|
karl1990
(Themenstarter)
Anmeldungsdatum: 27. November 2018
Beiträge: 58
|
lubux schrieb: karl1990 schrieb: May 22 15:24:30 karl-PC pkexec[2219]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp_vp7_4sm] Wenn ich "/tmp/" öffne finde ich allerdings nicht "tmp_vp7_4sm" ...
Zu welchem Zeitpunkt hast Du "/tmp" geöffnet?
Hi lubux, ich habe den Ordner zum Zeitpunkt geöffnet als das Fenster noch angezeigt wurde und nach dem Schließen des Fensters.
|
karl1990
(Themenstarter)
Anmeldungsdatum: 27. November 2018
Beiträge: 58
|
Hallo Berlin_1946, die Ausgabe habe ich doch bereits gepostet. Hier nocheinmal: | May 26 14:48:20 karl-PC pkexec[2176]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp_d7a31r8]
May 26 15:07:21 karl-PC pkexec[2216]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmpx0v1kqsa]
May 26 15:16:39 karl-PC pkexec[2229]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmpvaj19fi2]
May 26 15:20:01 karl-PC pkexec[2227]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp3jtpuww9]
|
Den Paketzwischenspeicher habe ich auch geleert, leider hat das auch nicht geholfen
|
Berlin_1946
Supporter, Wikiteam
Anmeldungsdatum: 18. September 2009
Beiträge: 8697
|
Hallo karl1990 das vom 25. Mai 2022 15:38 ist meine vorhergehende Frage gewesen. Dort stehen 4 bzw. 5 Befehle. Was haben die ergeben?
die Ausgabe habe ich doch bereits gepostet. Hier nocheinmal:
Ist halt ohne Befehl im Codeblock leicht zu übersehen. 🤣 Nachfrage: ChickenLipsRfun2eat schrieb: Hallo! Prüfe mal deine Autostart-Möglichkeiten. Ansonsten würde ich wie im Archwiki beschrieben das Logging aktivieren: # Datei /etc/polkit-1/rules.d/00-log-access.rules
polkit.addRule(function(action, subject) {
polkit.log("action=" + action);
polkit.log("subject=" + subject);
});
Quelle: Polkit
gemacht oder nicht gemacht?
|
karl1990
(Themenstarter)
Anmeldungsdatum: 27. November 2018
Beiträge: 58
|
Hi Berlin_1946, das nächste mal mach ich es mit Befehl 😀 Den Vorschlag von ChickenLipsRfun2eat habe ich ausgeführt. Allerdings befand sich kein Ordner "rules.d", ich habe dann einen selbst erstellen müssen und auch die entsprechende Datei anlegen müssen. Vom Logging hat sich aber nichts geändert,außer irgendetwas ist da schief gelaufen. Die Autostartprogramme habe ich auch überprüft, da ist nichts verdächtiges.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
karl1990 schrieb: Vom Logging hat sich aber nichts geändert,außer irgendetwas ist da schief gelaufen.
Das wäre überraschend. Ändere mal die Zeichenketten auf was erkennbares ab, also bspw. polkit.log("PKDBGaction=" + action);
polkit.log("PKDBGsubject=" + subject);
Dann kannst du das bequem mit journalctl -b -g PKDBG filtern. Das da kein Ordner in /etc war ist auch normal, wenn du nichts installiert hast, was dort Einträge verursacht. Die mitgelieferten liegen in /usr/share/polkit-1/rules.d/. Nachtrag: Kann sein, das nur root diese Einträge lesen kann. Also rufe das journal als root auf, wenn beim Nutzer nichts erscheint.
|
dingsbums
Anmeldungsdatum: 13. November 2010
Beiträge: 3547
|
karl1990 schrieb: | May 26 14:48:20 karl-PC pkexec[2176]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp_d7a31r8]
May 26 15:07:21 karl-PC pkexec[2216]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmpx0v1kqsa]
May 26 15:16:39 karl-PC pkexec[2229]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmpvaj19fi2]
May 26 15:20:01 karl-PC pkexec[2227]: karl: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/karl] [COMMAND=/bin/sh /tmp/tmp3jtpuww9]
|
Mal ganz ehrlich, bei derlei Seltsamlichkeiten würde ich nicht tagelang herumdoktern, sondern das System kurz und schmerzlos neu aufsetzen bzw. aus der letzten Systemsicherung wiederherstellen (es soll ja Leute geben, die so etwas haben).
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
dingsbums schrieb: … sondern das System kurz und schmerzlos neu aufsetzen …
Kann man machen, klar. Aber es wäre dennoch interessant zu wissen, welches Stück Software sich da beim Start Rootrechte holen will. Neu installieren bringt ja nur was, wenn man nicht wieder die selben Pakete installiert…
|