[Debian] geen su via ssh - Linux en overige clients

donderdag 17 februari 2005 10:26

Acties:

Here To Stay

Topicstarter

Ik heb zojuist een versie Debian install gedaan, waarbij de hele installatie vlekkenloos ging.
Ik heb nu echter het probleem dat ik niet kan su-en naar root via SSH.
En ik weet 100% zeker dat het wachtwoord goed is!

Dit kan wel als ik fysiek achter de machine zit, en dan su naar root.
Ik heb maar weinig kunnen vinden over dit probleem (GoT Search en Google), maar een probleem
dat er op lijkt staat hier. Maar een oplossing heb ik er niet kunnen vinden.

Ik heb ook geprobeerd de user tot de Wheel group te adden, maar deze group bestaat niet.

Mijn /var/log/auth.log:

Feb 17 10:19:59 avalon sshd[5026]: Accepted password for marcel from 192.168.0.1 port 2309 ssh2
Feb 17 10:19:59 avalon PAM_unix[5028]: (ssh) session opened for user marcel by (uid=1000)
Feb 17 10:20:02 avalon PAM_unix[5030]: authentication failure; marcel(uid=1000) -> root for su service
Feb 17 10:20:05 avalon su[5030]: pam_authenticate: Authentication failure
Feb 17 10:20:05 avalon su[5030]: - pts/0 marcel-root

Het probleem itself:

marcel@avalon:~$ su
Password:
su: Authentication failure
Sorry.
marcel@avalon:~$

[ Voor 5% gewijzigd door slazh op 17-02-2005 10:30 ]

donderdag 17 februari 2005 13:33

Acties:

JeroenE

slazh schreef op donderdag 17 februari 2005 @ 10:26:Ik heb nu echter het probleem dat ik niet kan su-en naar root via SSH.

Heb je misschien per in PAM de securetty gebruikt?

Als dat zo is dan mag je alleen als root inloggen op tty's die in /etc/securetty staan. Standaard staat daar geen pts/* in volgens mij. De console en tty1etc staan daar wel in dus als je achter de machine zelf zit kan je wel root worden.

In de PAM instellingen moet je kunnen vinden welke modules er allemaal actief zijn en die moet je dus 'even' controleren op de juiste instellingen.

donderdag 17 februari 2005 13:35

Acties:

El_kingo

Staat in je config file van ssh (/etc/ssh/sshd_config) de optie PermitRootLogin aan (onder het kopje Authentication) ?

donderdag 17 februari 2005 13:43

Acties:

Rac-On

sparcky schreef op donderdag 17 februari 2005 @ 13:35:
Staat in je config file van ssh (/etc/ssh/sshd_config) de optie PermitRootLogin aan (onder het kopje Authentication) ?

PermitRootLogin geeft toch alleen aan of je rechtstreeks als root in mag loggen? heeft volgens mij geen invloed op het gebruik van su.

@jeroen, pts/ staat daar inderdaad niet standaard in.

@TS: check ondermeer dit bestand :
/etc/security/access.conf

doet niet aan icons, usertitels of signatures

donderdag 17 februari 2005 13:47

Acties:

El_kingo

rac-on schreef op donderdag 17 februari 2005 @ 13:43:
[...]
PermitRootLogin geeft toch alleen aan of je rechtstreeks als root in mag loggen? heeft volgens mij geen invloed op het gebruik van su.

Oops je hebt gelijk, misschien even beter lezen in vervolg... Ik las dat ie niet met root kon inloggen via SSH

donderdag 17 februari 2005 13:51

Acties:

slazh

Here To Stay

Topicstarter

rac-on schreef op donderdag 17 februari 2005 @ 13:43:
[...]
@TS: check ondermeer dit bestand :
/etc/security/access.conf

Dit bestand is helemaal gecomment.

Ik heb ondertussen via IRC het een en ander kunnen testen;

als ik in /etc/pam.d/su de volgende line toevoeg:
auth sufficient pam_wheel.so trust group=adm
en daarna mijn user tot de adm groep add,
kan ik wel su-en, maar, zoals het ook hoort via deze config, hoef ik geen password te geven.
Dit is niet helemaal de bedoeling natuurijk

[ Voor 5% gewijzigd door slazh op 17-02-2005 13:56 ]

donderdag 17 februari 2005 13:59

Acties:

Verwijderd

wees veilig: gebruikt geen su, maar sudo.

donderdag 17 februari 2005 14:19

Acties:

weijl

als je de user niet tijdens de install hebt aangemaakt, probeer dan eens om de user aan de group 'root' toe te voegen.

donderdag 17 februari 2005 14:27

Acties:

Rac-On

gupje schreef op donderdag 17 februari 2005 @ 14:19:
als je de user niet tijdens de install hebt aangemaakt, probeer dan eens om de user aan de group 'root' toe te voegen.

een user aan de groep root toevoegen? En hem dan ssh access geven?

en deze optie is alleen maar nodig al je in /etc/pam.d/su de regel
# auth required pam_wheel.so
uitgecomment hebt staan, en dan nog zou het geen verschil moeten maken of je via ssh inlogt of niet...

Kan je ook de inhoud van /etc/pam.d/su hier eens neerzetten? misschien staat daar iets in over securetty?

doet niet aan icons, usertitels of signatures

donderdag 17 februari 2005 14:52

Acties:

slazh

Here To Stay

Topicstarter

#
# The PAM configuration file for the Shadow `su' service
#

# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so

# Uncomment this if you want wheel members to be able to
# su without a password.
# deze heb ik zelf aangepast!
# auth sufficient pam_wheel.so trust group=adm

# Uncomment this if you want members of a specific group to not
# be allowed to use su at all.
# ook deze aangepast om te testen, mocht ook niet baten.
# auth required pam_wheel.so deny group=nosu

# This allows root to su without passwords (normal operation)
auth sufficient pam_rootok.so

# Uncomment and edit /etc/security/time.conf if you need to set
# time restrainst on su usage.
# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
# as well as /etc/porttime)
# account requisite pam_time.so

# The standard Unix authentication modules, used with
# NIS (man nsswitch) as well as normal /etc/passwd and
# /etc/shadow entries.
auth required pam_unix.so
account required pam_unix.so
session required pam_unix.so

# Sets up user limits, please uncomment and read /etc/security/limits.conf
# to enable this functionality.
# (Replaces the use of /etc/limits in old login)
# session required pam_limits.so

donderdag 17 februari 2005 15:12

Acties:

JeroenE

slazh schreef op donderdag 17 februari 2005 @ 10:26:
Feb 17 10:20:02 avalon PAM_unix[5030]: authentication failure; marcel(uid=1000) -> root for su service

Ik heb nog even verder lopen spelen, maar als je securetty gebruikt dan krijg je een melding van pam_securetty en niet pam_unix.

Welke debian heb je trouwens geinstalleerd? Ik gebruik testing, al heb ik op deze machine al een tijdje niet geupdate. Ik vraag dit omdat er in jouw log "PAM_unix" en in mijn log "pam_unix" staat?!

Heb je misschien 'rare' tekens in je wachtwoord zitten die op de een of andere manier niet goed overkomen via SSH? Misschien staat je terminal instelling wel niet goed. Je kan eens kijken of het wel werkt als je een simpel wachtwoord neemt (abcdefgh ofzoiets).

auth required pam_unix.so

In mijn versie gaat dit via "@include common-auth" en in die file staat er nog "nullok_secure" achter.

[ Voor 7% gewijzigd door JeroenE op 17-02-2005 15:13 ]

donderdag 17 februari 2005 15:23

Acties:

slazh

Here To Stay

Topicstarter

jeroene schreef op donderdag 17 februari 2005 @ 15:12:
[...]
Ik heb nog even verder lopen spelen, maar als je securetty gebruikt dan krijg je een melding van pam_securetty en niet pam_unix.

Welke debian heb je trouwens geinstalleerd? Ik gebruik testing, al heb ik op deze machine al een tijdje niet geupdate. Ik vraag dit omdat er in jouw log "PAM_unix" en in mijn log "pam_unix" staat?!

Ik heb debian 3.0r4 geinstalleerd. Dat was de enige stable iso die ik nog op de FTP's kon vinden.

Heb je misschien 'rare' tekens in je wachtwoord zitten die op de een of andere manier niet goed overkomen via SSH? Misschien staat je terminal instelling wel niet goed. Je kan eens kijken of het wel werkt als je een simpel wachtwoord neemt (abcdefgh ofzoiets).

Mijn eigen password is alleen letters, maar het root passwd is met een # erin.
Als ik in de terminal gewoon even snel mijn rootpwd typ, staat ie er gewoon goed.

donderdag 17 februari 2005 15:39

Acties:

Rac-On

probeer het volgende eens:
1. Maak een group aan "su" (addgroup su)
2. pas de regels
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
aan naar:
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
auth required pam_wheel.so group = su
3. Voeg jezelf toe aan de su groep (adduser marcel su)

let wel op, als die niet werkt, kan je helemaal geen su meer doen. Dit hoeft geen probleem te zijn, tenzij je root login via console ook geblokkeerd hebt, maar dat zal wel niet. Je kan voor de zekerheid een root prompt openen en deze open laten, zodat je altijd je instellingen terug kan zetten.
Deze regel zorgt ervoor dat alleen users in de su groep mogen su-en overigens, en misschien kan je hiermee de blokkade die pam (blijkbaar volgens mij) ergens opricht, omzeilen.

[ Voor 3% gewijzigd door Rac-On op 17-02-2005 15:40 ]

doet niet aan icons, usertitels of signatures

donderdag 17 februari 2005 15:47

Acties:

slazh

Here To Stay

Topicstarter

rac-on schreef op donderdag 17 februari 2005 @ 15:39:
probeer het volgende eens:
1. Maak een group aan "su" (addgroup su)
2. pas de regels
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
aan naar:
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
auth required pam_wheel.so group = su
3. Voeg jezelf toe aan de su groep (adduser marcel su)

Mocht helaas ook niet baten.
Nog steeds authentication failed. Sorry.

met sudo kan ik wel gewoon root worden, maar dat is ook niet echt een oplossing imo.

donderdag 17 februari 2005 15:53

Acties:

JeroenE

Ik heb debian 3.0r4 geinstalleerd. Dat was de enige stable iso die ik nog op de FTP's kon vinden.

Wat krijg je te zien als je

code:

1	dpkg -l \|grep libpam

doet?

Bij mij:

ii  libpam-doc     0.76-22        Documentation of PAM
ii  libpam-modules 0.76-22        Pluggable Authentication Modules for PAM
ii  libpam-passwdq 0.7.5-1        replacement for the pam_cracklib module
ii  libpam-runtime 0.76-22        Runtime support for the PAM library
ii  libpam0g       0.76-22        Pluggable Authentication Modules library

Mijn eigen password is alleen letters, maar het root passwd is met een # erin.
Als ik in de terminal gewoon even snel mijn rootpwd typ, staat ie er gewoon goed.

Hm... En als je achter de machine zelf een # intikt dan krijg je ook niet iets anders te zien?

Je kan nog eens proberen of je met "sudo passwd" via SSH het wachtwoord kan aanpassen en daarna kijken of het met "su - " wel lukt.

donderdag 17 februari 2005 16:22

Acties:

slazh

Here To Stay

Topicstarter

jeroene schreef op donderdag 17 februari 2005 @ 15:53:
Hm... En als je achter de machine zelf een # intikt dan krijg je ook niet iets anders te zien?

Dit is iets wat inderdaad anders is; het # zit daar waar normaal de | of \ zit.
Dacht dat dat aan het toetsenbord lag :x

Voor die overige dingen zal ik zo even kijken.

donderdag 17 februari 2005 16:27

Acties:

Verwijderd

doe eens ls -l /bin/su
ik krijg dan:

-rwsr-xr-x 1 root root 21112 2003-09-23 19:51 /bin/su*

misschien moet je nog even chmod 4755 /bin/su doen...

('t is maar een idee)

donderdag 17 februari 2005 16:32

Acties:

Gerco

Professional Newbie

slazh schreef op donderdag 17 februari 2005 @ 13:51:
auth sufficient pam_wheel.so trust group=adm

Maak daar eens het volgende van en lees "man pam"

auth required pam_wheel.so trust group=adm

sufficient betekent natuurlijk dat voldoen aan die voorwaarde genoeg is om toegang te krijgen. Wat je nu zegt is: "su moet slagen voor elke user in de adm groep". Je wilt zeggen: "Als de user in de adm groep zit EN het password is goed, dan moet su slagen".

Misschien moet je die "trust" ook weghalen, ik weet niet uit mn hoofd wat dat doet, maar dat staat vast in TFM.

[ Voor 42% gewijzigd door Gerco op 17-02-2005 16:36 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 17 februari 2005 16:38

Acties:

JeroenE

Dit is iets wat inderdaad anders is; het # zit daar waar normaal de | of \ zit.
Dacht dat dat aan het toetsenbord lag :x

Voor die overige dingen zal ik zo even kijken.

Is het probleem nu opgelost of niet? Dat het teken ergens anders op het toetsenbord zit hoeft niet erg te zijn. Het is dan wel noodzakelijk dat je machine weet welke toetsenbord lay-out gebruikt moet worden; als je geen US keyboard hebt, maar linux denkt van wel dan zullen toetsen die 'op de verkeerde plaats' zitten niet de tekens produceren die er op staan.

donderdag 17 februari 2005 17:16

Acties:

slazh

Here To Stay

Topicstarter

jeroene schreef op donderdag 17 februari 2005 @ 16:38:
[...]
Is het probleem nu opgelost of niet? Dat het teken ergens anders op het toetsenbord zit hoeft niet erg te zijn. Het is dan wel noodzakelijk dat je machine weet welke toetsenbord lay-out gebruikt moet worden; als je geen US keyboard hebt, maar linux denkt van wel dan zullen toetsen die 'op de verkeerde plaats' zitten niet de tekens produceren die er op staan.

Ik heb net even gekeken,en als ik mijn password met # typ krijg iets zoals dit

avalon:~: #appels
avalon:~:

Terwijl ik geen # aan het begin typ, maar appels#.
Dit probleem heb ik niet als ik remote inlog.

edit
Ik heb nog even snel gekeken, in nano is # het pondteken.
Zou dat de 'return' kunnen veroorzaken?

[ Voor 9% gewijzigd door slazh op 17-02-2005 17:51 ]

vrijdag 18 februari 2005 08:02

Acties:

JeroenE

Terwijl ik geen # aan het begin typ, maar appels#.
Dit probleem heb ik niet als ik remote inlog.

edit
Ik heb nog even snel gekeken, in nano is # het pondteken.
Zou dat de 'return' kunnen veroorzaken?

Je hebt waarschijnlijk een brits toetsenbord?
Je moet eerst weten wat voor lay-out je toetsenbord heeft. In /usr/share/keymap moet je dan zoeken of je de juiste keymap kan vinden. Als je een PC hebt moet je zijn in i386, heb je qwerty dan in de dir qwerty etc.

Voor zover ik kan zien is er maar 1 britse keymap, uk.kmap.gz. Je kan deze laden door middel van "loadkeys uk.kmap.gz" (of gewoon "loadkeys uk"). Je moet dan eens proberen of nu alle toetsen wel goed werken in je console.

Als je een keymap hebt gevonden die goed werkt dan kan je met bijvoorbeeld "install-keymap uk" er voor zorgen dat deze keymap ook tijdens het booten wordt geladen.

NB de keymap heeft alleen betrekking op het toetsenbord wat aan je computer hangt en dus niet of sessies die met SSH inloggen!

vrijdag 18 februari 2005 09:02

Acties:

slazh

Here To Stay

Topicstarter

jeroene schreef op vrijdag 18 februari 2005 @ 08:02:
[...]

Je hebt waarschijnlijk een brits toetsenbord?
Je moet eerst weten wat voor lay-out je toetsenbord heeft. In /usr/share/keymap moet je dan zoeken of je de juiste keymap kan vinden. Als je een PC hebt moet je zijn in i386, heb je qwerty dan in de dir qwerty etc.

Voor zover ik kan zien is er maar 1 britse keymap, uk.kmap.gz. Je kan deze laden door middel van "loadkeys uk.kmap.gz" (of gewoon "loadkeys uk"). Je moet dan eens proberen of nu alle toetsen wel goed werken in je console.

Als je een keymap hebt gevonden die goed werkt dan kan je met bijvoorbeeld "install-keymap uk" er voor zorgen dat deze keymap ook tijdens het booten wordt geladen.

NB de keymap heeft alleen betrekking op het toetsenbord wat aan je computer hangt en dus niet of sessies die met SSH inloggen!

Het probleem is meer dat ik een US keyboard heb, maar deze per ongluk als brits heb ingesteld tijdens de installatie. Als ik de keyboard layout verander, kan ik dan nog wel inloggen als ik fysiek achter de computer zit?

edit
Ik heb zojuist even mijn root passwd veranderd in een simpel wachtwoord,
zonder speciala karakters. Nu kan ik wel gewoon su-en als ik remote inlog.

Je hebt geen idee hoe dom ik me nu voel

edit 2
Probleem kan hierbij als opgelost worden.
* password veranderd naar een password zonder vreemde tekens
* toetsenbord layout veranderd naar US
* password weer teruggezet (dus met #)

En ik kan nu vrolijk su-en

Allemaal bedankt voor de hulp!

[ Voor 22% gewijzigd door slazh op 18-02-2005 09:19 ]