The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Блокировка локального входа в систему"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 07-Окт-02, 14:36  (MSK)
Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал. Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е. после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Блокировка локального входа в систему"
Сообщение от fefelov Искать по авторуВ закладки on 07-Окт-02, 15:17  (MSK)
Ты бы хоть операционку указал...

А вообще, грузишься с CD и правишь нужные файлики.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 07-Окт-02, 15:42  (MSK)
>Ты бы хоть операционку указал...
>

Операционка - Linux RH 7.1

>А вообще, грузишься с CD и правишь нужные файлики.

загрузиться я могу и в однопользовательском, но в сингле не запускаются сетевые службы. В том-то и вопрос - какие файлики надо поправить?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Блокировка локального входа в систему"
Сообщение от J Искать по авторуВ закладки on 07-Окт-02, 17:38  (MSK)
>>Ты бы хоть операционку указал...
>>
>
>Операционка - Linux RH 7.1
>
>>А вообще, грузишься с CD и правишь нужные файлики.
>
>загрузиться я могу и в однопользовательском, но в сингле не запускаются сетевые
>службы. В том-то и вопрос - какие файлики надо поправить?

вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 07-Окт-02, 18:10  (MSK)

>
>вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc


Ничего подобного. В pam.d и securetty - все ок. Где еще копать? Уже второй день сижу...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 07-Окт-02, 23:21  (MSK)
>
>>
>>вероятно, в каталоге /etc/pam.d/, /etc/securetty, просто посмотри файлы в каталоге /etc
>
>
>Ничего подобного. В pam.d и securetty - все ок. Где еще копать?
>Уже второй день сижу...

А на этот Ok посмотреть можно...            :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 08-Окт-02, 09:45  (MSK)
>А на этот Ok посмотреть можно...      
>     :)
securetty:

vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11


/etc/pam.d/login:

auth      required    /lib/security/pam_securetty.so
auth      required    /lib/security/pam_stack.so service=system-auth
auth      required    /lib/security/pam_nologin.so
account   required    /lib/security/pam_stack.so service=system-auth
password  required    /lib/security/pam_stack.so service=system-auth
session   required    /lib/security/pam_stack.so service=system-auth
session   optional    /lib/security/pam_console.so

/etc/pam.d/passwd:

auth      required    /lib/security/pam_stack.so service=system-auth
account   required    /lib/security/pam_stack.so service=system-auth
password  required    /lib/security/pam_stack.so service=system-auth

Вот такие дела... В принципе, я поднял sshd, так что могу админить удаленно, но все-таки хотелось бы знать как эту штуку разблокировать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Блокировка локального входа в систему"
Сообщение от J Искать по авторуВ закладки on 08-Окт-02, 10:50  (MSK)
а в логах что?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 08-Окт-02, 14:01  (MSK)
>а в логах что?

Самое интересное, что ничего!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 08-Окт-02, 12:55  (MSK)
>>А на этот Ok посмотреть можно...      
>>     :)
>securetty:
>
>vc/1
>vc/2
>vc/3
>vc/4
>vc/5
>vc/6
>vc/7
>vc/8
>vc/9
>vc/10
>vc/11
>tty1
>tty2
>tty3
>tty4
>tty5
>tty6
>tty7
>tty8
>tty9
>tty10
>tty11
>
>
>/etc/pam.d/login:
>
>auth      required    /lib/security/pam_securetty.so
>auth      required    /lib/security/pam_stack.so service=system-auth
>
>auth      required    /lib/security/pam_nologin.so
>account   required    /lib/security/pam_stack.so service=system-auth
>password  required    /lib/security/pam_stack.so service=system-auth
>session   required    /lib/security/pam_stack.so service=system-auth
>session   optional    /lib/security/pam_console.so
>
>/etc/pam.d/passwd:
>
>auth      required    /lib/security/pam_stack.so service=system-auth
>
>account   required    /lib/security/pam_stack.so service=system-auth
>password  required    /lib/security/pam_stack.so service=system-auth
>
>Вот такие дела... В принципе, я поднял sshd, так что могу админить
>удаленно, но все-таки хотелось бы знать как эту штуку разблокировать?


А что у тебя в /etc/security/access.conf ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 08-Окт-02, 14:02  (MSK)
>
>А что у тебя в /etc/security/access.conf ?

+:ALL:LOCAL

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 08-Окт-02, 17:18  (MSK)
>>
>>А что у тебя в /etc/security/access.conf ?
>
>+:ALL:LOCAL

Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 09-Окт-02, 11:50  (MSK)
>>>
>>>А что у тебя в /etc/security/access.conf ?
>>
>>+:ALL:LOCAL
>
>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.


Не помогло. :)
Еще варианты?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Блокировка локального входа в систему"
Сообщение от J Искать по авторуВ закладки on 09-Окт-02, 12:53  (MSK)
>>>>
>>>>А что у тебя в /etc/security/access.conf ?
>>>
>>>+:ALL:LOCAL
>>
>>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
>
>
>Не помогло. :)
>Еще варианты?


a esli v /etc/pam.d/login postavit vezde pam_nullok ili kak on v RH dolzhen nazyvatsia?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 09-Окт-02, 14:50  (MSK)
>>>>
>>>>А что у тебя в /etc/security/access.conf ?
>>>
>>>+:ALL:LOCAL
>>
>>Попробуй +:ALL:ALL или вообще сотри все нафиг и оставь файл пустым.
>
>
>Не помогло. :)
>Еще варианты?

Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно ...)?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 09-Окт-02, 15:32  (MSK)
>>Не помогло. :)
>>Еще варианты?
>
>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно
>...)?

:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто любопытство разбирает!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 09-Окт-02, 20:06  (MSK)
>>>Не помогло. :)
>>>Еще варианты?
>>
>>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно
>>...)?
>
>:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто
>любопытство разбирает!

Попробуй посмотреть /etc/security/console.perms и man console.perms

Шелы-то у тебя в /etc/passwd нормальные?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 10-Окт-02, 11:05  (MSK)
>Попробуй посмотреть /etc/security/console.perms и man console.perms
>
>Шелы-то у тебя в /etc/passwd нормальные?

в console.perms вроде все в порядке.
Шелл - /bin/bash

  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 10-Окт-02, 12:14  (MSK)
>>Попробуй посмотреть /etc/security/console.perms и man console.perms
>>
>>Шелы-то у тебя в /etc/passwd нормальные?
>
>в console.perms вроде все в порядке.
>Шелл - /bin/bash

Вообще-то странно что в логах ничего нет

cat /etc/syslog.conf | grep auth
cat /etc/syslog.conf | grep "\*\."

что говорит? а еще лучше весь syslog.conf покажи

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 10-Окт-02, 16:03  (MSK)
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# iptables messages
kern.=debug /var/log/iptables.mes
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none    /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg *
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
#
# INN
#
news.=crit                                      /var/log/news/news.crit
news.=err                                       /var/log/news/news.err
news.notice                                     /var/log/news/news.notice
  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 10-Окт-02, 17:07  (MSK)
># Log all kernel messages to the console.
># Logging much else clutters up the screen.
># iptables messages
>kern.=debug   /var/log/iptables.mes
># Log anything (except mail) of level info or higher.
># Don't log private authentication messages!
>*.info;mail.none;news.none;authpriv.none;cron.none    /var/log/messages
># The authpriv file has restricted access.
>authpriv.*    /var/log/secure
># Log all the mail messages in one place.
>mail.*     /var/log/maillog
># Log cron stuff
>cron.*     /var/log/cron
># Everybody gets emergency messages, plus log them on another
># machine.
>*.emerg     *
># Save mail and news errors of level err and higher in
>a
># special file.
>uucp,news.crit    /var/log/spooler
># Save boot messages also to boot.log
>local7.*    /var/log/boot.log
>#
># INN
>#
>news.=crit            
>          
>          
>    /var/log/news/news.crit
>news.=err            
>          
>          
>     /var/log/news/news.err
>news.notice            
>          
>          
>   /var/log/news/news.notice


echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
kill -HUP syslogd
ps -A|grep syslog (работает ?)

пробуем логиниться

cat /var/log/auth.log (что-нибудь там появиться обязательно должно)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 10-Окт-02, 17:30  (MSK)
>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
>kill -HUP syslogd
>ps -A|grep syslog (работает ?)
>
>пробуем логиниться
>
>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)

Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config
Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config
Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port 1128
Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by (uid=0)

Но это записи от ssh, а попытки локального входа - как будто их и не было.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "RE: Блокировка локального входа в систему"
Сообщение от LS emailИскать по авторуВ закладки on 11-Окт-02, 23:59  (MSK)
>>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
>>kill -HUP syslogd
>>ps -A|grep syslog (работает ?)
>>
>>пробуем логиниться
>>
>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>
>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file
>/dev/tux/ssh2/sshd2_config
>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file
>/dev/tux/ssh2/sshd2_config
>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port
>1128
>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by
>(uid=0)
>
>
>
>Но это записи от ssh, а попытки локального входа - как будто
>их и не было.

Я пас, остается только надеется на высшие силы (http://www.opennet.dev/openforum//vsluhforumID1/21804.html)

PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не ч/з pam (посмотри man login - в старых системах, кажется, для  ограничения входа использолвался файл /etc/usertty или что-то похожее...)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "RE: Блокировка локального входа в систему"
Сообщение от lavr emailИскать по авторуВ закладки on 14-Окт-02, 11:42  (MSK)
>>>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
>>>kill -HUP syslogd
>>>ps -A|grep syslog (работает ?)
>>>
>>>пробуем логиниться
>>>
>>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>>
>>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file
>>/dev/tux/ssh2/sshd2_config
>>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file
>>/dev/tux/ssh2/sshd2_config
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
netstat и тд и тп, что где висит на каких портах, inetd или xinetd

>>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
>>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
>>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port
>>1128
>>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by
>>(uid=0)
>>
>>
>>
>>Но это записи от ssh, а попытки локального входа - как будто
>>их и не было.
>
>Я пас, остается только надеется на высшие силы (http://www.opennet.dev/openforum//vsluhforumID1/21804.html)
>
>PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не
>ч/з pam (посмотри man login - в старых системах, кажется, для
> ограничения входа использолвался файл /etc/usertty или что-то похожее...)


/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
ставить!?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "RE: Блокировка локального входа в систему"
Сообщение от Алексей emailИскать по авторуВ закладки on 14-Окт-02, 12:09  (MSK)
>>>/dev/tux/ssh2/sshd2_config
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
>похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
>netstat и тд и тп, что где висит на каких портах, inetd
>или xinetd
>
>
>
>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
>
>ставить!?

Кстати, нет такой папки - /dev/tux

  Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "RE: Блокировка локального входа в систему"
Сообщение от lavr emailИскать по авторуВ закладки on 14-Окт-02, 12:34  (MSK)
>>>>/dev/tux/ssh2/sshd2_config
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
>>похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
>>netstat и тд и тп, что где висит на каких портах, inetd
>>или xinetd
>>
>>
>>
>>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
>>
>>ставить!?
>
>Кстати, нет такой папки - /dev/tux

это чьи были логи, с системы на которой проблемы? ssh там был впоследствии
пересобран?

советую поднять sniffer, настроить логи и демоны запускать с логами:
telnetd/rshd/popd/ftpd/... и проверять что происходит и смотреть по логам

  Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "RE: Блокировка локального входа в систему"
Сообщение от SandySandy emailИскать по авторуВ закладки on 01-Ноя-02, 10:44  (MSK)

>/etc/pam.d/login:
>auth      required    /lib/security/pam_securetty.so
>auth      required    /lib/security/pam_stack.so service=system-auth
>auth      required    /lib/security/pam_nologin.so
>account   required    /lib/security/pam_stack.so service=system-auth
>password  required    /lib/security/pam_stack.so service=system-auth
>session   required    /lib/security/pam_stack.so service=system-auth
>session   optional    /lib/security/pam_console.so
>/etc/pam.d/passwd:
>auth      required    /lib/security/pam_stack.so service=system-auth
>account   required    /lib/security/pam_stack.so service=system-auth
>password  required    /lib/security/pam_stack.so service=system-auth

А что слабо в /etc/pam.d/system-auth заглянуть?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "RE: Блокировка локального входа в систему"
Сообщение от qq Искать по авторуВ закладки on 12-Окт-02, 15:32  (MSK)
>Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить
>сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал.
>Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е.
>после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
>
такой эффект можно получить прописав в /etc/inittab
2:23:respawn:/sbin/getty -l /bin/true 38400 tty2
для каждого tty.
тогда getty будет запускать вместо login прогу /bin/true и все будет как вы описываете
так что смотрите что в /etc/inittab

  Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "RE: Блокировка локального входа в систему"
Сообщение от qq Искать по авторуВ закладки on 13-Окт-02, 23:16  (MSK)
а может просто бинарник /bin/login завалился при вырубании питалова, или библиотеки какие...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "RE: Блокировка локального входа в систему"
Сообщение от 1 Искать по авторуВ закладки on 15-Окт-02, 11:44  (MSK)
>Бывший админ установил на сервере блокировку локального входа. Вроде все нормально, админить
>сервер можно удаленно, через ssh. Но после перепада напряжения ssh упал.
>Как можно снять блокировку? Сервер даже не позволяет вводить пароль, т.е.
>после попытки ввода логина экран очищается и снова появляется стандартное приглашение.
>


что в профилях?)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "RE: Блокировка локального входа в систему"
Сообщение от SandySandy emailИскать по авторуВ закладки on 12-Ноя-02, 12:29  (MSK)
Повторюсь :))
>/etc/pam.d/login:
>auth      required    /lib/security/pam_securetty.so
>auth      required    /lib/security/pam_stack.so service=system-auth
>auth      required    /lib/security/pam_nologin.so
>account  required    /lib/security/pam_stack.so service=system-auth
>password  required    /lib/security/pam_stack.so service=system-auth
>session  required    /lib/security/pam_stack.so service=system-auth
>session  optional    /lib/security/pam_console.so
>/etc/pam.d/passwd:
>auth      required    /lib/security/pam_stack.so service=system-auth
>account  required    /lib/security/pam_stack.so service=system-auth
>password  required    /lib/security/pam_stack.so service=system-auth

А что слабо в /etc/pam.d/system-auth заглянуть?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

31. "RE: Блокировка локального входа в систему"
Сообщение от civix emailИскать по авторуВ закладки on 07-Мрт-04, 04:45  (MSK)
мне кажется реальнее найти этого бывшего сисадмина.
Ну все-таки мне кажется все дело в /sbin/nologin
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру