форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Блокировка локального входа в систему"
Сообщение от Алексей on 07-Окт-02, 14:36  (MSK)
Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал. Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е. после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Блокировка локального входа в систему"
Сообщение от fefelov on 07-Окт-02, 15:17  (MSK)
Ты бы хоть операционку указал... А вообще, грузишься с CD и правишь нужные файлики.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 07-Окт-02, 15:42  (MSK)
	>Ты бы хоть операционку указал... > Операционка - Linux RH 7.1 >А вообще, грузишься с CD и правишь нужные файлики. загрузиться я могу и в однопользовательском, но в сингле не запускаются сетевые службы. В том-то и вопрос - какие файлики надо поправить?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Блокировка локального входа в систему"
	Сообщение от J on 07-Окт-02, 17:38  (MSK)
	>>Ты бы хоть операционку указал... >> > >Операционка - Linux RH 7.1 > >>А вообще, грузишься с CD и правишь нужные файлики. > >загрузиться я могу и в однопользовательском, но в сингле не запускаются сетевые >службы. В том-то и вопрос - какие файлики надо поправить? вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 07-Окт-02, 18:10  (MSK)
	> >вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc Ничего подобного. В pam.d и securetty - все ок. Где еще копать? Уже второй день сижу...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 07-Окт-02, 23:21  (MSK)
	> >> >>вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc > > >Ничего подобного. В pam.d и securetty - все ок. Где еще копать? >Уже второй день сижу... А на этот Ok посмотреть можно...            :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 08-Окт-02, 09:45  (MSK)
	>А на этот Ok посмотреть можно...       >     :) securetty: vc/1 vc/2 vc/3 vc/4 vc/5 vc/6 vc/7 vc/8 vc/9 vc/10 vc/11 tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 tty9 tty10 tty11 /etc/pam.d/login: auth      required    /lib/security/pam_securetty.so auth      required    /lib/security/pam_stack.so service=system-auth auth      required    /lib/security/pam_nologin.so account   required    /lib/security/pam_stack.so service=system-auth password  required    /lib/security/pam_stack.so service=system-auth session   required    /lib/security/pam_stack.so service=system-auth session   optional    /lib/security/pam_console.so /etc/pam.d/passwd: auth      required    /lib/security/pam_stack.so service=system-auth account   required    /lib/security/pam_stack.so service=system-auth password  required    /lib/security/pam_stack.so service=system-auth Вот такие дела... В принципе, я поднял sshd, так что могу админить удаленно, но все-таки хотелось бы знать как эту штуку разблокировать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Блокировка локального входа в систему"
	Сообщение от J on 08-Окт-02, 10:50  (MSK)
	а в логах что?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 08-Окт-02, 14:01  (MSK)
	>а в логах что? Самое интересное, что ничего!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 08-Окт-02, 12:55  (MSK)
	>>А на этот Ok посмотреть можно...       >>     :) >securetty: > >vc/1 >vc/2 >vc/3 >vc/4 >vc/5 >vc/6 >vc/7 >vc/8 >vc/9 >vc/10 >vc/11 >tty1 >tty2 >tty3 >tty4 >tty5 >tty6 >tty7 >tty8 >tty9 >tty10 >tty11 > > >/etc/pam.d/login: > >auth      required    /lib/security/pam_securetty.so >auth      required    /lib/security/pam_stack.so service=system-auth > >auth      required    /lib/security/pam_nologin.so >account   required    /lib/security/pam_stack.so service=system-auth >password  required    /lib/security/pam_stack.so service=system-auth >session   required    /lib/security/pam_stack.so service=system-auth >session   optional    /lib/security/pam_console.so > >/etc/pam.d/passwd: > >auth      required    /lib/security/pam_stack.so service=system-auth > >account   required    /lib/security/pam_stack.so service=system-auth >password  required    /lib/security/pam_stack.so service=system-auth > >Вот такие дела... В принципе, я поднял sshd, так что могу админить >удаленно, но все-таки хотелось бы знать как эту штуку разблокировать? А что у тебя в /etc/security/access.conf ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 08-Окт-02, 14:02  (MSK)
	> >А что у тебя в /etc/security/access.conf ? +:ALL:LOCAL
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 08-Окт-02, 17:18  (MSK)
	>> >>А что у тебя в /etc/security/access.conf ? > >+:ALL:LOCAL Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 09-Окт-02, 11:50  (MSK)
	>>> >>>А что у тебя в /etc/security/access.conf ? >> >>+:ALL:LOCAL > >Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым. Не помогло. :) Еще варианты?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: Блокировка локального входа в систему"
	Сообщение от J on 09-Окт-02, 12:53  (MSK)
	>>>> >>>>А что у тебя в /etc/security/access.conf ? >>> >>>+:ALL:LOCAL >> >>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым. > > >Не помогло. :) >Еще варианты? a esli v /etc/pam.d/login postavit vezde pam_nullok ili kak on v RH dolzhen nazyvatsia?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 09-Окт-02, 14:50  (MSK)
	>>>> >>>>А что у тебя в /etc/security/access.conf ? >>> >>>+:ALL:LOCAL >> >>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым. > > >Не помогло. :) >Еще варианты? Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно ...)?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 09-Окт-02, 15:32  (MSK)
	>>Не помогло. :) >>Еще варианты? > >Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно >...)? :) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто любопытство разбирает!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 09-Окт-02, 20:06  (MSK)
	>>>Не помогло. :) >>>Еще варианты? >> >>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно >>...)? > >:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто >любопытство разбирает! Попробуй посмотреть /etc/security/console.perms и man console.perms Шелы-то у тебя в /etc/passwd нормальные?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 10-Окт-02, 11:05  (MSK)
	>Попробуй посмотреть /etc/security/console.perms и man console.perms > >Шелы-то у тебя в /etc/passwd нормальные? в console.perms вроде все в порядке. Шелл - /bin/bash
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 10-Окт-02, 12:14  (MSK)
	>>Попробуй посмотреть /etc/security/console.perms и man console.perms >> >>Шелы-то у тебя в /etc/passwd нормальные? > >в console.perms вроде все в порядке. >Шелл - /bin/bash Вообще-то странно что в логах ничего нет cat /etc/syslog.conf | grep auth cat /etc/syslog.conf | grep "\*\." что говорит? а еще лучше весь syslog.conf покажи
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 10-Окт-02, 16:03  (MSK)
	# Log all kernel messages to the console. # Logging much else clutters up the screen. # iptables messages kern.=debug /var/log/iptables.mes # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;news.none;authpriv.none;cron.none    /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages, plus log them on another # machine. *.emerg * # Save mail and news errors of level err and higher in a # special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log # # INN # news.=crit                                      /var/log/news/news.crit news.=err                                       /var/log/news/news.err news.notice                                     /var/log/news/news.notice
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 10-Окт-02, 17:07  (MSK)
	># Log all kernel messages to the console. ># Logging much else clutters up the screen. ># iptables messages >kern.=debug   /var/log/iptables.mes ># Log anything (except mail) of level info or higher. ># Don't log private authentication messages! >*.info;mail.none;news.none;authpriv.none;cron.none    /var/log/messages ># The authpriv file has restricted access. >authpriv.*    /var/log/secure ># Log all the mail messages in one place. >mail.*     /var/log/maillog ># Log cron stuff >cron.*     /var/log/cron ># Everybody gets emergency messages, plus log them on another ># machine. >*.emerg     * ># Save mail and news errors of level err and higher in >a ># special file. >uucp,news.crit    /var/log/spooler ># Save boot messages also to boot.log >local7.*    /var/log/boot.log ># ># INN ># >news.=crit             >           >           >    /var/log/news/news.crit >news.=err             >           >           >     /var/log/news/news.err >news.notice             >           >           >   /var/log/news/news.notice echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf kill -HUP syslogd ps -A|grep syslog (работает ?) пробуем логиниться cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 10-Окт-02, 17:30  (MSK)
	>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf >kill -HUP syslogd >ps -A|grep syslog (работает ?) > >пробуем логиниться > >cat /var/log/auth.log (что-нибудь там появиться обязательно должно) Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22. Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13. Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port 1128 Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by (uid=0) Но это записи от ssh, а попытки локального входа - как будто их и не было.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "RE: Блокировка локального входа в систему"
	Сообщение от LS on 11-Окт-02, 23:59  (MSK)
	>>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf >>kill -HUP syslogd >>ps -A|grep syslog (работает ?) >> >>пробуем логиниться >> >>cat /var/log/auth.log (что-нибудь там появиться обязательно должно) > >Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file >/dev/tux/ssh2/sshd2_config >Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file >/dev/tux/ssh2/sshd2_config >Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22. >Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13. >Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port >1128 >Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by >(uid=0) > > > >Но это записи от ssh, а попытки локального входа - как будто >их и не было. Я пас, остается только надеется на высшие силы (http://www.opennet.me/openforum//vsluhforumID1/21804.html) PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не ч/з pam (посмотри man login - в старых системах, кажется, для  ограничения входа использолвался файл /etc/usertty или что-то похожее...)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "RE: Блокировка локального входа в систему"
	Сообщение от lavr on 14-Окт-02, 11:42  (MSK)
	>>>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf >>>kill -HUP syslogd >>>ps -A|grep syslog (работает ?) >>> >>>пробуем логиниться >>> >>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно) >> >>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file >>/dev/tux/ssh2/sshd2_config >>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file >>/dev/tux/ssh2/sshd2_config ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!! похоже на то что машину ломанули, надо проверять rootkit, ifconfig, netstat и тд и тп, что где висит на каких портах, inetd или xinetd >>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22. >>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13. >>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port >>1128 >>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by >>(uid=0) >> >> >> >>Но это записи от ssh, а попытки локального входа - как будто >>их и не было. > >Я пас, остается только надеется на высшие силы (http://www.opennet.me/openforum//vsluhforumID1/21804.html) > >PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не >ч/з pam (посмотри man login - в старых системах, кажется, для > ограничения входа использолвался файл /etc/usertty или что-то похожее...) /dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH ставить!?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "RE: Блокировка локального входа в систему"
	Сообщение от Алексей on 14-Окт-02, 12:09  (MSK)
	>>>/dev/tux/ssh2/sshd2_config >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!! >похоже на то что машину ломанули, надо проверять rootkit, ifconfig, >netstat и тд и тп, что где висит на каких портах, inetd >или xinetd > > > >/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH > >ставить!? Кстати, нет такой папки - /dev/tux
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "RE: Блокировка локального входа в систему"
	Сообщение от lavr on 14-Окт-02, 12:34  (MSK)
	>>>>/dev/tux/ssh2/sshd2_config >>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!! >>похоже на то что машину ломанули, надо проверять rootkit, ifconfig, >>netstat и тд и тп, что где висит на каких портах, inetd >>или xinetd >> >> >> >>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH >> >>ставить!? > >Кстати, нет такой папки - /dev/tux это чьи были логи, с системы на которой проблемы? ssh там был впоследствии пересобран? советую поднять sniffer, настроить логи и демоны запускать с логами: telnetd/rshd/popd/ftpd/... и проверять что происходит и смотреть по логам
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "RE: Блокировка локального входа в систему"
	Сообщение от SandySandy on 01-Ноя-02, 10:44  (MSK)
	>/etc/pam.d/login: >auth      required    /lib/security/pam_securetty.so >auth      required    /lib/security/pam_stack.so service=system-auth >auth      required    /lib/security/pam_nologin.so >account   required    /lib/security/pam_stack.so service=system-auth >password  required    /lib/security/pam_stack.so service=system-auth >session   required    /lib/security/pam_stack.so service=system-auth >session   optional    /lib/security/pam_console.so >/etc/pam.d/passwd: >auth      required    /lib/security/pam_stack.so service=system-auth >account   required    /lib/security/pam_stack.so service=system-auth >password  required    /lib/security/pam_stack.so service=system-auth А что слабо в /etc/pam.d/system-auth заглянуть?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "RE: Блокировка локального входа в систему"
Сообщение от qq on 12-Окт-02, 15:32  (MSK)
>Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить >сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал. >Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е. >после попытки ввода логина экран очищается и снова появляется стандартное приглашение. > такой эффект можно получить прописав в /etc/inittab 2:23:respawn:/sbin/getty -l /bin/true 38400 tty2 для каждого tty. тогда getty будет запускать вместо login прогу /bin/true и все будет как вы описываете так что смотрите что в /etc/inittab
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "RE: Блокировка локального входа в систему"
	Сообщение от qq on 13-Окт-02, 23:16  (MSK)
	а может просто бинарник /bin/login завалился при вырубании питалова, или библиотеки какие...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "RE: Блокировка локального входа в систему"
Сообщение от 1 on 15-Окт-02, 11:44  (MSK)
>Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить >сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал. >Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е. >после попытки ввода логина экран очищается и снова появляется стандартное приглашение. > что в профилях?)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "RE: Блокировка локального входа в систему"
	Сообщение от SandySandy on 12-Ноя-02, 12:29  (MSK)
	Повторюсь :)) >/etc/pam.d/login: >auth      required    /lib/security/pam_securetty.so >auth      required    /lib/security/pam_stack.so service=system-auth >auth      required    /lib/security/pam_nologin.so >account  required    /lib/security/pam_stack.so service=system-auth >password  required    /lib/security/pam_stack.so service=system-auth >session  required    /lib/security/pam_stack.so service=system-auth >session  optional    /lib/security/pam_console.so >/etc/pam.d/passwd: >auth      required    /lib/security/pam_stack.so service=system-auth >account  required    /lib/security/pam_stack.so service=system-auth >password  required    /lib/security/pam_stack.so service=system-auth А что слабо в /etc/pam.d/system-auth заглянуть?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "RE: Блокировка локального входа в систему"
	Сообщение от civix on 07-Мрт-04, 04:45  (MSK)
	мне кажется реальнее найти этого бывшего сисадмина. Ну все-таки мне кажется все дело в /sbin/nologin
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.