LINUX.ORG.RU
решено ФорумAdmin

Проблемы с PAM/аунтерфикацией пользователей в системе

 , ,


0

1

Перенес рабочую систему с одного диска на другой, всё нормально запустилось, но с некоторыми оговорками. К примеру, во время переноса напрочь сбил права пользователей на root:root. Это легко исправил. Или же вот, при попытке разблокировать экран xscreensaver он пишет «auth fail». В логе auth.log при этом пишет:

xscreensaver: pam_unix(xscreensaver:auth): authentication failure; logname= uid=1000 euid=1000 tty=:0.0 ruser= rhost=  user=fluffy
FAILED LOGIN 3 ON DISPLAY ":0.0", FOR "fluffy"

Так же, в том же самом логе, есть любопытные ошибки:

unix_chkpwd[6324]: check pass; user unknown
unix_chkpwd[6323]: password check failed for user (fluffy)

Но пользователь существует и я могу войти с ним через tty, эмулятор и поменять пароль на любой другой! А вот с скринсейвером такая проблема.

/etc/shadow и /etc/passwd имеют корректные права (сравнивал с рабочей системой)

Сам попросил помощи в решении проблемы - сам решил проболему. :)

Решение заключалось в переустановке всех пакетов pam:

# dpkg -l | grep pam
ii  libpam-gnome-keyring:amd64                                  3.20.0-3                                    amd64        PAM module to unlock the GNOME keyring upon login
ii  libpam-modules:amd64                                        1.1.8-3.6                                   amd64        Pluggable Authentication Modules for PAM
ii  libpam-modules-bin                                          1.1.8-3.6                                   amd64        Pluggable Authentication Modules for PAM - helper binaries
ii  libpam-runtime                                              1.1.8-3.6                                   all          Runtime support for the PAM library
ii  libpam-systemd:amd64                                        232-25+deb9u1                               amd64        system and service manager - PAM module
ii  libpam0g:amd64                                              1.1.8-3.6                                   amd64        Pluggable Authentication Modules library
# aptitude reinstall libpam-systemd libpam-runtime libpam-modules-bin libpam-modules libpam-gnome-keyring libpam0g

FluffyPillow ()

Систему надо переустанавливать пренося только отдельные конфиги и скрипты.

torvn77 ★★★★★ ()
Ответ на: комментарий от FluffyPillow

Linux в отличии от винды не обязательно ставить на целевом компьютере, да и конфиги можно на нём разместить, если они уже готовы.

Ну и много ЛИЧНОГО времени займёт запуск минимальной установки с netboot, а потом доустановка через apt install ... ?
Последнее можно делать дома оставив комп на ночь (ну это если у тебя совсем нет времени).

Сейчас же за то ты тратишь не меньше времени на устранение накладок и возможно последствий сбоев при копировании при том, что гарантии получения ЗДОРОВОЙ системы у тебя уже нет.
Вернее есть гарантия что как минимум будут все болячки послужившей исходной.
Вот и думай, кто из нас двоих меньше времени потратил.

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 3 )
Ответ на: комментарий от torvn77

Ну и много ЛИЧНОГО времени займёт запуск минимальной установки с netboot, а потом доустановка через apt install ... ?

Ну для начала мне нужно вспомнить какие пакеты у меня установлены. Ковыряние в логах apt не слишком быстрое.

Вернее есть гарантия что как минимум будут все болячки послужившей исходной.

Исходная система болячек не имела или же были, но при работе не проявлялись => чистая система = послужившая исходная.

Вот и думай, кто из нас двоих меньше времени потратил.

Загрузится в Live, примонтировать диск с исходной системой и диск для новой системы, время cp -ra (а у меня SSD и такая операция проходит минут за 5-10 на 80ГБ данных), обновление граба (не больше 5 минут) и ребут из Live в новую систему. Всё. Сохранение прав с помощью опции -a при копировании разрешило бы 90% проблем, а 10-15 минутный тест системы и переустановка плохо работающих пакетов решило бы последние проблемы.

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

Ты забыл перечислить поиск не исправности в ТрамPAMпам и создание на ЛОР темы «Проблемы с PAM/аунтерфикацией пользователей в системе».
А потом, когда из-за «но при работе не проявлялись» тебе поставят руткит, зашифруют /home и используют твой комп для атаки на чужие сайты добавь ещё неопределённые издержки на разгребание этого бедлама.

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1 )
Ответ на: комментарий от torvn77

Ты забыл перечислить поиск не исправности в ТрамPAMпам и создание на ЛОР темы «Проблемы с PAM/аунтерфикацией пользователей в системе».

Увы, даже с этим время затраченное на перенос системы и исправление недочетов куда меньше чем установка голой системы и накат конфигов.

А потом, когда из-за «но при работе не проявлялись» тебе поставят руткит, зашифруют /home и используют твой комп для атаки на чужие сайты добавь ещё неопределённые издержки на разгребание этого бедлама.

Поставить руткит и прочие непотребства могут из-за неправильно настроенных конфигов и сомнительного софта. Сомнительный софт не ставлю, а конфиги переносятся и при установке чистой системы. А уж польностью перенастраивать весь софт с чистой системой меня никак не устраивает.

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

сомнительного софта.

То что у тебя засбоил PAM свидетельствует об одном из двух:
1. Системные файлы скопироаались с ошибками.
2. Не перенеслись права и разрешения на файл.
Одного этого достаточно для сколь угодно страшных последствий.
Так к этому есть ещё и 3:
3. Давным давно, в прошлом году я поместил в lib вне пакетного менеджера библиотеку, чтоб у меня запустилась вне репозитарная программа, а в судо прописал prog_name NOPASSWD чтоб не мучится с паролем.

И вся эта дрянь в тврей копии(ты ведь не проверил корректность, идентичность и права КАЖДОГО файла?) ;D

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2 )
Ответ на: комментарий от torvn77

1. Не спорю, самая главная возможная причина неработающего софта. Решается простой переустановкой данного софта. 2. И тоже да, только права и разрешения не перенеслись в сторону несекурности, а перенеслись в сторону слишком большой секурности (root:root на всём) и соответственно, некоторый софт тоже не работает. Исправляется быстрым проходом ls -l по корню диска. Этого можно было избежать с помощью переноса с сохранением исходных прав. 3. Ставить что-то не через пакетный менеджер очень глупо. Не страдаю этим.

Эта же дрянь (не считая прав, разрешений и некорректных make install вне пакетного менеджера) будет и в твоей девственно-чистой системе на которую ты накатил конфиги со старой системы. Неработающий софт не в счёт - исправить его расплюнуть, а на секурность он не сильно влияет.

Другое дело если взять чистую систему и полностью настроить её заново. Но это займет достаточное количество времени.

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

Решается простой переустановкой данного софта.

Не проще ли сделать один apt install и уйти птть чай?

будет и в твоей девственно-чистой системе на которую ты накатил конфиги со старой системы.

Раз я за год про эту либу или насьройку забыл, то значит и в новую стстему её не добавлю :D))))
А вот у тебя будет глюкодром.

torvn77 ★★★★★ ()
Ответ на: комментарий от FluffyPillow

Загрузится в Live, примонтировать диск с исходной системой и диск для новой системы, время cp -ra (а у меня SSD и такая операция проходит минут за 5-10 на 80ГБ данных)

Вы сами написали что с правами пошло не так. Значит в чем-то ошиблись.

cp -ra

Зачем -r при -a ?

anc ★★★★★ ()
Ответ на: комментарий от torvn77

Не проще ли сделать один apt install и уйти птть чай?

Не проще. Потом молотить конфиги.

А вот у тебя будет глюкодром.

Системе 1.5 года. Три переноса. Работает как часы. Когда ждать глюкодром?)

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

Я забыл аттрибут -a к cp.

Ну так повторили бы. Это куда как правильней. А то потом будете еще с другими правами прыгать как писали выше.

anc ★★★★★ ()
Ответ на: комментарий от anc

Бэкап старой системы уже подтёрт. Буду пахать с этой. Да и как уже говорил, права сбились в root:root и по секурности хуже не станет. Только работать может перестать что-то.

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

Еще. Предположим у вас есть демон который стартует с понижением привилегий под другого пользователя, но вот у демона есть каталоги куда надо писать, и он не сможет туда писать, но без детального рассмотрения вы об этом не узнаете. Т.е. работать будет, но не полноценно. Вобщем примеров можно приводить много.

anc ★★★★★ ()

Давайте начем с главного. Как надо было переносить, чтобы потерять пользователя и группу? Если потеряны пользователь и группа - сохранился ли режим доступа?

anonymous ()
Ответ на: комментарий от FluffyPillow

С момента начала темы прошло 12 часов, за это время можно раза четыре установить систему или полтора раза установить и обжить, но судя по постутперенос системы так и не пришёл к завершению.
FluffyPillow мастер создания экономящих силы и время методик.

torvn77 ★★★★★ ()
Ответ на: комментарий от torvn77

На перенос системы полчаса, на разрешение всех остальных проблем около 2-3 часов. Всё.

FluffyPillow ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.