Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал. Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е. после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
Ты бы хоть операционку указал...А вообще, грузишься с CD и правишь нужные файлики.
>Ты бы хоть операционку указал...
>Операционка - Linux RH 7.1
>А вообще, грузишься с CD и правишь нужные файлики.
загрузиться я могу и в однопользовательском, но в сингле не запускаются сетевые службы. В том-то и вопрос - какие файлики надо поправить?
>>Ты бы хоть операционку указал...
>>
>
>Операционка - Linux RH 7.1
>
>>А вообще, грузишься с CD и правишь нужные файлики.
>
>загрузиться я могу и в однопользовательском, но в сингле не запускаются сетевые
>службы. В том-то и вопрос - какие файлики надо поправить?вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc
>
>вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc
Ничего подобного. В pam.d и securetty - все ок. Где еще копать? Уже второй день сижу...
>
>>
>>вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc
>
>
>Ничего подобного. В pam.d и securetty - все ок. Где еще копать?
>Уже второй день сижу...А на этот Ok посмотреть можно... :)
>А на этот Ok посмотреть можно...
> :)
securetty:vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
/etc/pam.d/login:auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so/etc/pam.d/passwd:
auth required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-authВот такие дела... В принципе, я поднял sshd, так что могу админить удаленно, но все-таки хотелось бы знать как эту штуку разблокировать?
а в логах что?
>а в логах что?Самое интересное, что ничего!
>>А на этот Ok посмотреть можно...
>> :)
>securetty:
>
>vc/1
>vc/2
>vc/3
>vc/4
>vc/5
>vc/6
>vc/7
>vc/8
>vc/9
>vc/10
>vc/11
>tty1
>tty2
>tty3
>tty4
>tty5
>tty6
>tty7
>tty8
>tty9
>tty10
>tty11
>
>
>/etc/pam.d/login:
>
>auth required /lib/security/pam_securetty.so
>auth required /lib/security/pam_stack.so service=system-auth
>
>auth required /lib/security/pam_nologin.so
>account required /lib/security/pam_stack.so service=system-auth
>password required /lib/security/pam_stack.so service=system-auth
>session required /lib/security/pam_stack.so service=system-auth
>session optional /lib/security/pam_console.so
>
>/etc/pam.d/passwd:
>
>auth required /lib/security/pam_stack.so service=system-auth
>
>account required /lib/security/pam_stack.so service=system-auth
>password required /lib/security/pam_stack.so service=system-auth
>
>Вот такие дела... В принципе, я поднял sshd, так что могу админить
>удаленно, но все-таки хотелось бы знать как эту штуку разблокировать?
А что у тебя в /etc/security/access.conf ?
>
>А что у тебя в /etc/security/access.conf ?+:ALL:LOCAL
>>
>>А что у тебя в /etc/security/access.conf ?
>
>+:ALL:LOCALПопробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
>>>
>>>А что у тебя в /etc/security/access.conf ?
>>
>>+:ALL:LOCAL
>
>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
Не помогло. :)
Еще варианты?
>>>>
>>>>А что у тебя в /etc/security/access.conf ?
>>>
>>>+:ALL:LOCAL
>>
>>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
>
>
>Не помогло. :)
>Еще варианты?
a esli v /etc/pam.d/login postavit vezde pam_nullok ili kak on v RH dolzhen nazyvatsia?
>>>>
>>>>А что у тебя в /etc/security/access.conf ?
>>>
>>>+:ALL:LOCAL
>>
>>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
>
>
>Не помогло. :)
>Еще варианты?Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно ...)?
>>Не помогло. :)
>>Еще варианты?
>
>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно
>...)?:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто любопытство разбирает!
>>>Не помогло. :)
>>>Еще варианты?
>>
>>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно
>>...)?
>
>:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто
>любопытство разбирает!Попробуй посмотреть /etc/security/console.perms и man console.perms
Шелы-то у тебя в /etc/passwd нормальные?
>Попробуй посмотреть /etc/security/console.perms и man console.perms
>
>Шелы-то у тебя в /etc/passwd нормальные?в console.perms вроде все в порядке.
Шелл - /bin/bash
>>Попробуй посмотреть /etc/security/console.perms и man console.perms
>>
>>Шелы-то у тебя в /etc/passwd нормальные?
>
>в console.perms вроде все в порядке.
>Шелл - /bin/bashВообще-то странно что в логах ничего нет
cat /etc/syslog.conf | grep auth
cat /etc/syslog.conf | grep "\*\."что говорит? а еще лучше весь syslog.conf покажи
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# iptables messages
kern.=debug /var/log/iptables.mes
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg *
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
#
# INN
#
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice
># Log all kernel messages to the console.
># Logging much else clutters up the screen.
># iptables messages
>kern.=debug /var/log/iptables.mes
># Log anything (except mail) of level info or higher.
># Don't log private authentication messages!
>*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
># The authpriv file has restricted access.
>authpriv.* /var/log/secure
># Log all the mail messages in one place.
>mail.* /var/log/maillog
># Log cron stuff
>cron.* /var/log/cron
># Everybody gets emergency messages, plus log them on another
># machine.
>*.emerg *
># Save mail and news errors of level err and higher in
>a
># special file.
>uucp,news.crit /var/log/spooler
># Save boot messages also to boot.log
>local7.* /var/log/boot.log
>#
># INN
>#
>news.=crit
>
>
> /var/log/news/news.crit
>news.=err
>
>
> /var/log/news/news.err
>news.notice
>
>
> /var/log/news/news.notice
echo "auth.* /var/log/auth.log" >> /etc/syslog.conf
kill -HUP syslogd
ps -A|grep syslog (работает ?)пробуем логиниться
cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>echo "auth.* /var/log/auth.log" >> /etc/syslog.conf
>kill -HUP syslogd
>ps -A|grep syslog (работает ?)
>
>пробуем логиниться
>
>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config
Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config
Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port 1128
Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by (uid=0)Но это записи от ssh, а попытки локального входа - как будто их и не было.
>>echo "auth.* /var/log/auth.log" >> /etc/syslog.conf
>>kill -HUP syslogd
>>ps -A|grep syslog (работает ?)
>>
>>пробуем логиниться
>>
>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>
>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file
>/dev/tux/ssh2/sshd2_config
>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file
>/dev/tux/ssh2/sshd2_config
>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port
>1128
>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by
>(uid=0)
>
>
>
>Но это записи от ssh, а попытки локального входа - как будто
>их и не было.Я пас, остается только надеется на высшие силы (http://www.opennet.me/openforum//vsluhforumID1/21804.html)
PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не ч/з pam (посмотри man login - в старых системах, кажется, для ограничения входа использолвался файл /etc/usertty или что-то похожее...)
>>>echo "auth.* /var/log/auth.log" >> /etc/syslog.conf
>>>kill -HUP syslogd
>>>ps -A|grep syslog (работает ?)
>>>
>>>пробуем логиниться
>>>
>>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>>
>>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file
>>/dev/tux/ssh2/sshd2_config
>>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file
>>/dev/tux/ssh2/sshd2_config
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
netstat и тд и тп, что где висит на каких портах, inetd или xinetd
>>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
>>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
>>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port
>>1128
>>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by
>>(uid=0)
>>
>>
>>
>>Но это записи от ssh, а попытки локального входа - как будто
>>их и не было.
>
>Я пас, остается только надеется на высшие силы (http://www.opennet.me/openforum//vsluhforumID1/21804.html)
>
>PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не
>ч/з pam (посмотри man login - в старых системах, кажется, для
> ограничения входа использолвался файл /etc/usertty или что-то похожее...)
/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
ставить!?
>>>/dev/tux/ssh2/sshd2_config
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
>похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
>netstat и тд и тп, что где висит на каких портах, inetd
>или xinetd
>
>
>
>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
>
>ставить!?Кстати, нет такой папки - /dev/tux
>>>>/dev/tux/ssh2/sshd2_config
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
>>похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
>>netstat и тд и тп, что где висит на каких портах, inetd
>>или xinetd
>>
>>
>>
>>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
>>
>>ставить!?
>
>Кстати, нет такой папки - /dev/tuxэто чьи были логи, с системы на которой проблемы? ssh там был впоследствии
пересобран?советую поднять sniffer, настроить логи и демоны запускать с логами:
telnetd/rshd/popd/ftpd/... и проверять что происходит и смотреть по логам
>/etc/pam.d/login:
>auth required /lib/security/pam_securetty.so
>auth required /lib/security/pam_stack.so service=system-auth
>auth required /lib/security/pam_nologin.so
>account required /lib/security/pam_stack.so service=system-auth
>password required /lib/security/pam_stack.so service=system-auth
>session required /lib/security/pam_stack.so service=system-auth
>session optional /lib/security/pam_console.so
>/etc/pam.d/passwd:
>auth required /lib/security/pam_stack.so service=system-auth
>account required /lib/security/pam_stack.so service=system-auth
>password required /lib/security/pam_stack.so service=system-authА что слабо в /etc/pam.d/system-auth заглянуть?
>Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить
>сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал.
>Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е.
>после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
>
такой эффект можно получить прописав в /etc/inittab
2:23:respawn:/sbin/getty -l /bin/true 38400 tty2
для каждого tty.
тогда getty будет запускать вместо login прогу /bin/true и все будет как вы описываете
так что смотрите что в /etc/inittab
а может просто бинарник /bin/login завалился при вырубании питалова, или библиотеки какие...
>Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить
>сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал.
>Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е.
>после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
>
что в профилях?)
Повторюсь :))
>/etc/pam.d/login:
>auth required /lib/security/pam_securetty.so
>auth required /lib/security/pam_stack.so service=system-auth
>auth required /lib/security/pam_nologin.so
>account required /lib/security/pam_stack.so service=system-auth
>password required /lib/security/pam_stack.so service=system-auth
>session required /lib/security/pam_stack.so service=system-auth
>session optional /lib/security/pam_console.so
>/etc/pam.d/passwd:
>auth required /lib/security/pam_stack.so service=system-auth
>account required /lib/security/pam_stack.so service=system-auth
>password required /lib/security/pam_stack.so service=system-authА что слабо в /etc/pam.d/system-auth заглянуть?
мне кажется реальнее найти этого бывшего сисадмина.
Ну все-таки мне кажется все дело в /sbin/nologin