nie je mozne sa nalogovat na konzolu ani cez su(1)

Dan Lukes dan at obluda.cz
Fri Jul 13 12:23:02 CEST 2007

Previous message: nie je mozne sa nalogovat na konzolu ani cez su(1)
Next message: nie je mozne sa nalogovat na konzolu ani cez su(1)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

martinko napsal/wrote, On 07/13/07 02:36:
> Nemozem momentalne overit (stroj nedostupny), ale:
> 
> - rootovi su(1) funguje, ostatnym nie.
> 
> - su(1) nie je jediny problem, okrem roota sa nikto nemoze ani lokalne 
> (konzola) ani dialkovo (ssh s pouzitim hesla) prihlasit.  /ssh s public 
> key funguje/
> 
> Takze problem je niekde s heslami.  Ale (!) take su(1) zlyha este skor 
> ako vobec opyta nejake heslo (vid vyssie).

	Ja bych shrnul, co si ja myslim, ze o problemu rozumne vime:

1. problem neni s chybejicimi suid bity nebo NOSUID mountem, protoze to 
by 'su' koncilo jasnou hlaskou 'not running as root'

2. problem neni v tom, ze by databaze uzivatelu byla nedostupna zcela, 
protoze ssh v pripade autentizace klicem uspesne pouziva getpwent()

3. problem maji jen bezni uzivatele, pricemz vsechny popsane 
problematicke scenare maji spolecnou vlastnost, ze pri autentizaci byl 
pouzit PAM

4. program se nezepta na heslo

	Nejmene jasna informace je [3], protoze neni jasne, zda koincidence 
problemu a PAM je statisticka chyba nebo skutecna zakonitost. Ja hadam 
na to druhe, coz me vede k favorizovanemu zaveru (ktery uz jsem nakonec 
rekl minule) - problem je v PAM.

	V pripade, ze system je upgrade ze starsi verze pripadaji v uvahu 
zapomenute nebo z nejakeho jineho duvodu neupgradovane "stare" knihovny. 
Pokud jde o cistou instalaci, muze problem pusobit zasah do konfigurace, 
at uz ho udelal spravce systemu explicitne nebo k nemu doslo pri (pokusu 
o) instalaci nejakeho package/portu/softwaru. Mene pravdepodobna 
vysvetleni pak zahrnuji nahodna poskozeni knihoven, treba jako dusledek 
obecneho poskozeni dat uloznych na disku, ale to by se takove poskozeni 
muselo "stastne trefit".

	Pokud jsem neco zasadniho neprehledl, mam dojem, ze ty tri bodu nahore 
jsou (shrnuto) uplna poskytnuta sada vstupnich informaci. Vyse uvedena 
hypoteza vychazi z prvnich trech; informace [4] je vuci vyslovene 
hypoteze intertni.

							Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz

Previous message: nie je mozne sa nalogovat na konzolu ani cez su(1)
Next message: nie je mozne sa nalogovat na konzolu ani cez su(1)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list