Перестал работать login любых пользователей

selinux ?

Отключено

Команда last не показывает сегодняшние успешные логины

Это точно сингл-юзер, а не лайв система какая-нибудь?
Если сингл юзер, то это точно не гипервизор с виртуалками?

Точно сингл юзер, машина виртуальная на kvm

/etc/nologin мог остаться после сбоя.

менял логин на zsh

Если /etc/nologin есть, login не пускает с любым *sh.

Проверил, такого файла нет

По ssh тоже не пускает?

Да, по ssh аналогично

В логах что-то должно быть.

Перед этим было что-то необычное?

Не исключено что в логах что-то есть, но я не знаю, что искать и куда смотреть. Вручную везде, где смотрел, не заметил ничего необычного в логах

Ничего необычного не было

Не исключено что в логах что-то есть, но я не знаю, что искать и куда смотреть. Вручную везде, где смотрел, не заметил ничего необычного в логах

/run/nologin может еще быть.

Если это обычный сеntos7 c systemd, надо смотреть journalctl | grep login.

/run/nologin может еще быть.

Файл появляется при каждом старте системы, я удаляю его в single режиме, выхожу из рута, чтобы она стартанула дальше, и когда она полностью загружается, войти я по прежнему не могу. После перезагрузки файл создаётся опять.

journalctl | grep login

По слову «login» вообще ничего не ищется, но я просмотрел полностью и не увидел ничего подозрительного

Файл появляется при каждом старте системы, я удаляю его в single режиме, выхожу из рута, чтобы она стартанула дальше, и когда она полностью загружается, войти я по прежнему не могу.

Возможно, после выхода из single /run/nologin почему-то пересоздается, хотя не должен. Смотреть нужно в сторону systemd-logind.

P.S. Здесь похожее: https://bugs.mageia.org/show_bug.cgi?id=21080

Я не уверен, что файл не удаляется после выхода из сингла, и проверить я это не могу. Кроме сингл режима, доступа к машине никакого другого нет. Я почитал, и то, что он создаётся при перезагрузках - это норма. Не должно ли быть сообщения у меня на экране что доступ запрещён, если это происходит из-за файла? Сообщений нет вообще никаких, экран очищается, и просит залогинится ещё раз.

Еще /var/run/nologin можно проверить и удалить руками из single mode.

// systemd превратил линукс в merd(e)

Ситуация сдвинулась с мёртвой точки. Все файлы nologin тут не при чём, это абсолютно точно. Как проверил? Во время сингл режима, когда файл nologin существует, вручную инициализировал сеть и запустил sshd, при попытке логина по ssh, клиенту показывают текстовое содержание файла nologin, и клиент видит, что его не пускают из-за файла. После выхода из сингла, никаких сообщений клиенту не показывают, его просто сразу же выкидывает из сессии, а значит его не пускает не из-за наличия этого файла.

Что я сделал - на компе не было вообще никаких ssh ключей, все логины осуществлялись только по паролям. Я создал ssh ключ, слил его через scp на другой комп и попробовал залогинится с ним - это работает! То есть, не в сингле локально я на комп войти не могу, а по сети - могу. Это уже большой шаг вперёд, хотя проблема до конца и не решена. Теперь у меня есть полноценный доступ к нему и можно копать дальше.

Благодаря реалтайм доступу к логам теперь я вижу, что getty падает при попытке логина с паролем. Решения в гугле не нашёл

Oct  8 11:48:53 sip systemd: getty@tty1.service has no holdoff time, scheduling restart.
Oct  8 11:48:53 sip systemd: Stopped Getty on tty1.
Oct  8 11:48:53 sip systemd: Started Getty on tty1.

А при чем здесь getty, если по ssh с паролем тоже не пускает?

df -ih проверь, может иноды закончились?

Если даже по ssh не пускает, то это либо косяки в pam, либо в profile.

А при чем здесь getty, если по ssh с паролем тоже не пускает?

getty валится если входить локально, по ssh с паролем ошибку не мониторил

df -ih проверь, может иноды закончились?

Всё в порядке

Если даже по ssh не пускает, то это либо косяки в pam, либо в profile.

Всех локальных пользователей не пускает, у меня их больше одного, значит не профиль. Куда в pam смотреть, не знаю

Всех локальных пользователей не пускает, у меня их больше одного, значит не профиль. Куда в pam смотреть, не знаю

В /etc/profile что-то может быть.

journalctl | grep -i pam что-то подозрительное показывает?

(Например, при заходе по ssh говорит ‘session opened for user xxx’ и сразу ‘session closed’)

journalctl | grep -i pam что-то подозрительное показывает?

На корректный пароль не говорит ничего ни для ssh, ни для локального логина. На некорректные ругается authentication failure

/etc/profile не виноват, потому как логин по ключу работает, и он в этом логине учавствует

Можно запустить journalctl -f и смотреть, что в логах при заходе по ssh с авторизацией по паролю.

Если все нормально, должно быть типа такого:

sshd[17641]: Accepted password for {user} from {IP} port {port} ssh2
systemd-logind[1029]: New session 1227 of user {user}.
systemd[1]: Started Session 1227 of user {user}.
sshd[17641]: pam_unix(sshd:session): session opened for user {user} by (uid=0)

Ноль реакции, на успешные логины, при которых пользователя выкидывает, нет ничего. На неуспешные вижу ошибку

pam как ругается? Можно лог показать?

На релевантные события вообще никаких сообщений, никак не ругается. Во время входа в лог ничего не пишется.

Ну естественно идёт брутфорс стандартного порта 22 с инета и вижу множественные ошибки логинов типа такого

Oct 08 13:52:38 ********.com sshd[4728]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=198.50.254.181  user=root

А на следующих строчках что пишет перед ‘connection closed’?

Ничего не пишет, насколько я вижу, одна ошибка - одна строчка. Ладно, я думаю что закрываю тему, доступ у меня по ключу есть, этого в принципе достаточно для работы с ним.

Около pam_unix надо разбираться.

Ну естественно идёт брутфорс стандартного порта 22 с инета

Если твой сервер доступен из интернета и на нем ВНЕЗАПНО начинает происходить что-то непонятное, то 146% это уже не твой сервер

shadow

Создать нового пользователя с паролем, совпадающим с паролем старого, сравнить хэши. Это если оно хэш только по паролю вычисляет.

Нет. Для начала попробовать переустановить shadow-utils

Вместе с зависимостями, да.

Если твой сервер доступен из интернета и на нем ВНЕЗАПНО начинает происходить что-то непонятное …

Значит, yum update по крону прилетело, да.

Ну естественно идёт брутфорс стандартного порта 22 с инета и вижу множественные ошибки логинов типа такого

Если в вашем мире это естественно, то возможно это уже не ваша машинка и вы ищите чёрную курицу в чёрной комнате.