Início / unix / Perguntas / 422411
Accepted
Paul Knopf
Asked: 2018-02-07 15:23:48 +0800 CST

PAM: Falha de autenticação, com senha válida

  • 772

Comando

pamtester -v auth pknopf authenticate
pamtester: invoking pam_start(auth, pknopf, ...)
pamtester: performing operation - authenticate
Password:
pamtester: Authentication failure

diário

Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown
Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf)
Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= uid=1000 euid=1000 tty= ruser= rhost=  user=pknopf

Como está agora, todas as telas de bloqueio me impedirão de "desbloquear" (tela de bloqueio do KDE, i3lock, etc).

Se eu começar i3lockcomo sudo, posso digitar corretamente a senha do root para desbloquear a tela. No entanto, se eu executá-lo como usuário normal, não consigo usar o usuário normal ou a senha root para desbloquear.

Aqui está minha configuração de PAM para arquivos i3lock.

#
# PAM configuration file for the i3lock screen locker. By default, it includes
# the 'system-auth' configuration file (see /etc/pam.d/login)
#
auth include system-auth

ls -l /etc/passwd /etc/shadow /etc/groupShows em execução

-rw-r--r-- 1 root root 803 Feb 6 14:16 /etc/group
-rw-r--r-- 1 root root 1005 Feb 6 14:16 /etc/passwd
-rw------- 1 root root 713 Feb 6 14:16 /etc/shadow

Esta é uma nova instalação do Arch, então não acho que a configuração seja muito instável. O que devo procurar para depurar isso?

ls -l /sbin/unix_chkpwdShows em execução

-rwxr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd
pam

3 respostas

  1. Best Answer

    A instalação do seu sistema parece estar quebrada. Por algum motivo, o arquivo /sbin/unix_chkpwdperdeu os bits de privilégio que eu esperaria ver.

    Corrija as permissões executando o seguinte comando como root:

    chmod u+s /sbin/unix_chkpwd

    E verifique se as permissões agora são as seguintes (consulte o sbit nas permissões do usuário):

    -rwsr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd

    Na minha distribuição Raspbian, as permissões são definidas de maneira ligeiramente diferente (e mais restritiva). Se a alteração descrita acima não funcionar, altere cuidadosamente as permissões nesses dois arquivos e veja se isso ajuda (o nome do grupo não importa muito, desde que seja o mesmo em ambos os casos):

    -rw-r----- 1 root shadow  1354 Dec  6 13:02 /etc/shadow
-rwxr-sr-x 1 root shadow 30424 Mar 27  2017 /sbin/unix_chkpwd
    • 19

  2. Em uma máquina Debian, no meu caso, tive que adicionar o usuário exim4 ao shadowgrupo.

    usermod -a -G shadow Debian-exim

    PAM: Nos sistemas Debian, os módulos PAM são executados como o mesmo usuário do programa de chamada, portanto, eles não podem fazer nada que você não possa fazer sozinho e, em particular, não podem acessar /etc/shadow a menos que o usuário esteja no grupo shadow. - Se você quiser usar /etc/shadow para o SMTP AUTH do Exim, você precisará executar o exim como grupo shadow. Somente o exim4-daemon-heavy está vinculado ao libpam. Sugerimos usar saslauthd em vez disso.

    http://lira.no-ip.org:8080/doc/exim4-base/README.Debian.html

    • 4

  3. Teve o mesmo problema, mas, além disso, teve que corrigir a permissão do

    chmod u+s /bin/sudo
chmod u+s /sbin/unix_chkpwd
chmod u+s /usr/bin/su

    O erro foi

    unix_chkpwd[37679]: password check failed for user XXX
su: pam_unix(su-l:auth): authentication failure;
    • 0

relate perguntas