su не распознаёт пароль root для не root-пользователя

1

2

Здравствуйте. Работает система. В текстовой консоли, например tty5, ввожу логин root и пароль этого пользователя. Получаю доступ к системе и имею возможность работать. Открываю другую. например tty2. вхожу в систему не root-пользователем, работаю. Затем пробую зайти, как root, используя su. Программа задумывается на несколько сек. и отказывает в доступе.

[bsm@maestro ~]$ su
Password:
su: неправильный пароль

Как можно исправить ситуацию? Спасибо.

Ссылка

←	KDE 4.14.3 в Ubuntu

Пропали файлы

→

su требует пароля пользователя а не рута

jesseydesu
(05.12.14 11:05:59 MSK)

Ответ на: комментарий от jesseydesu 05.12.14 11:05:59 MSK

deterok ★★★★★
(05.12.14 11:08:43 MSK)

Ссылка

Ответ на: комментарий от jesseydesu 05.12.14 11:05:59 MSK

Вы путаете с

sudo

И вы, deterok.

Для ТС, либо настройте работу sudo для нужного вам пользователя, либо добавьте этого пользователя в группу wheel, а затем вызывайте su и вводите пароль root.

kostik87 ★★★★★
(05.12.14 11:12:22 MSK)

Ответ на: комментарий от kostik87 05.12.14 11:12:22 MSK

Не, я думал он вводит так: su user1.

Он же будет просить пароль пользователя.

Плохо прочитал, действительно...

Ну тут тогда да, группа нужна.

deterok ★★★★★
(05.12.14 11:13:26 MSK)
Последнее исправление: deterok 05.12.14 11:14:21 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от jesseydesu 05.12.14 11:05:59 MSK

Я в предыдущем сообщении писал,- работаю в своей учётной записи, но при попытке войти как root, получил отказ. При этом я вводил пароль root-a. Сейчас попробовал иначе-

[bsm@maestro ~]$ su -l root
Password:
su: неправильный пароль

результат тот же.

bsm
(05.12.14 11:16:39 MSK) автор топика

Ссылка

Ответ на: комментарий от kostik87 05.12.14 11:12:22 MSK

Ввёл себя в группу wheel:

[bsm@maestro ~]$ cat /etc/group | grep wh
wheel:x:10:root,bsm

Результат тот же:

[bsm@maestro ~]$ cat /etc/group | grep wh
wheel:x:10:root,bsm
[bsm@maestro ~]$ su
Password:
su: неправильный пароль
You have new mail in /var/spool/mail/bsm

bsm
(05.12.14 11:22:21 MSK) автор топика

Ответ на: комментарий от bsm 05.12.14 11:22:21 MSK

Перелогиниться нужно. Покажите вывод команды id.

kostik87 ★★★★★
(05.12.14 11:29:31 MSK)

Ответ на: комментарий от kostik87 05.12.14 11:12:22 MSK

Теперь поясните идиоту почему при вводе в терминал su в минте без аргументов оно приняло пароль пользователя и переключило на рута?

jesseydesu
(05.12.14 11:31:01 MSK)

Ответ на: комментарий от kostik87 05.12.14 11:29:31 MSK

[bsm@maestro ~]$ id uid=1032(bsm) gid=100(users) группы=10(wheel),100(users),132(oeo)

bsm
(05.12.14 11:32:36 MSK) автор топика

Ссылка

Ответ на: комментарий от kostik87 05.12.14 11:29:31 MSK

[bsm@maestro ~]$ id
uid=1032(bsm) gid=100(users) группы=10(wheel),100(users),132(oeo)

bsm
(05.12.14 11:34:54 MSK) автор топика

Ссылка

Ответ на: комментарий от jesseydesu 05.12.14 11:31:01 MSK

Я без понятия как там у вас в минте и что там наделано, но по стандарту при вызове

su

без прочих параметров подразумевается, что пользователь хочет получить привелегии супер юзреа и запрашивается пароль root.

При вызове sudo запрашивается пароль текущего пользователя, он будет принят, если ему разрешено повышать свои привилегии для выполнения всех или только определённых команд, соответственно с настройками в файле /etc/sudoers.

Возможно, у вас в Минте вообще стоит alias:

alias su='sudo -i'

в особенности, если вы работаете под той учётной записью, которая создавалась при установке дистрибутива, она по умолчанию является «судоером».

kostik87 ★★★★★
(05.12.14 11:39:48 MSK)
Последнее исправление: kostik87 05.12.14 11:41:27 MSK (всего исправлений: 2)

Ссылка

С /etc/pam.d все нормально? Там есть файлик su?

UPD. И еще проверь /etc/login.defs. Там можно запретить логин суперпользователем с определенных консолей. Ты ничего вообще не правил в тех местах?

Zubok ★★★★★
(05.12.14 13:57:37 MSK)
Последнее исправление: Zubok 05.12.14 14:04:49 MSK (всего исправлений: 1)

Ответ на: комментарий от jesseydesu 05.12.14 11:31:01 MSK

Теперь поясните идиоту почему при вводе в терминал su в минте без аргументов оно приняло пароль пользователя и переключило на рута?

Потому что в Минте при установке пароль root совпадает с паролем пользователя с UID=1000. Если ты, например, сменишь свой пароль с помощью passwd, он перестанет совпадать с паролем рута.

proud_anon ★★★★★
(05.12.14 14:04:21 MSK)

Ссылка

Ответ на: комментарий от Zubok 05.12.14 13:57:37 MSK

В /etc/pam.d имеется:

[bsm@maestro pam.d]$ ls -1 -l /etc/pam.d/
итого 468
-rw-r--r--  1 root root    97 Июл 17  20012 apol
..
-rw-r--r--  1 root root   109 Мар 16  20012 squid
-rw-r--r--  1 root root   233 Апр  4  20012 sshd
-rw-r--r--  1 root root   944 Окт 12  20012 su
-rw-r--r--  1 root root   137 Авг 15  20012 sudo
-rw-r--r--  1 bsm  users  540 Май 27  2013 system-auth
..

Файл /etc/login.defs не изменялся.

bsm
(05.12.14 14:32:40 MSK) автор топика

Ссылка

Ответ на: комментарий от Zubok 05.12.14 13:57:37 MSK

Содержимое..

[bsm@maestro pam.d]$ [bsm@maestro etc]$ cat /etc/pam.d/su
#%PAM-1.0
auth       sufficient   /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient   /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required     /lib/security/$ISA/pam_wheel.so use_uid
auth       required     /lib/security/$ISA/pam_stack.so service=system-auth
account    required     /lib/security/$ISA/pam_stack.so service=system-auth
password   required     /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session    required     /lib/security/$ISA/pam_selinux.so close
session    required     /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session    required     /lib/security/$ISA/pam_selinux.so open multiple
session    optional     /lib/security/$ISA/pam_xauth.so

bsm
(05.12.14 14:34:57 MSK) автор топика

Ответ на: комментарий от bsm 05.12.14 14:34:57 MSK

А что пишет в /var/log/secure? У тебя Fedora или производный?

Zubok ★★★★★
(05.12.14 15:02:00 MSK)

Ответ на: комментарий от Zubok 05.12.14 15:02:00 MSK

Я вошол в систему своим логином и попробовал войти через su:

Dec  5 16:39:43 maestro login: pam_unix(login:session): session opened for user bsm by LOGIN(uid=0)
Dec  5 16:39:43 maestro login: LOGIN ON tty4 BY bsm
Dec  5 16:39:45 maestro dovecot-auth: Deprecated pam_stack module called from service "dovecot"
Dec  5 16:39:45 maestro dovecot-auth: Deprecated pam_stack module called from service "dovecot"
Dec  5 16:39:50 maestro su: Deprecated pam_stack module called from service "su"
Dec  5 16:39:59 maestro su: pam_unix(su:auth): authentication failure; logname=bsm uid=1032 euid=1032 tty=tty4 ruser=bsm rhost=  user=root
Dec  5 16:40:01 maestro userhelper[19430]: running '/usr/sbin/hddtemp --numeric /dev/sda' with root privileges on behalf of 'root'
Dec  5 16:40:03 maestro login: pam_unix(login:session): session closed for user bsm

Продолжу общение завтра,- смена закончилась.

bsm
(05.12.14 17:45:14 MSK) автор топика

Ответ на: комментарий от bsm 05.12.14 17:45:14 MSK

Я вошол в систему своим логином и попробовал войти через su:
su: pam_unix(su:auth): authentication failure; logname=bsm uid=1032 euid=1032 tty=tty4 ruser=bsm rhost= user=root

Короче, проверь права на /bin/su. У тебя, скорее всего, сбит suid.

ls -l /bin/su

У тебя должно быть (буковку s подчернкул)

-rwsr-xr-x
   ^

Если этой буковки нет, то от root

# chmod 4755 /bin/su

Zubok ★★★★★
(05.12.14 19:25:18 MSK)
Последнее исправление: Zubok 05.12.14 19:27:04 MSK (всего исправлений: 1)

нужна группа wheel

Ты должен зайти в терминал tty (ctrl+alt+F1)зайдя под login: root и введя пароль рута. И добавить себя в группу wheel таким образом

gpasswd -a учеточка wheel

или же

usermod -a -G wheel учёточка

потом выйти из терминала (alt+F7) и запустить в консоль su и будет тебе счастье.

druidcat
(05.12.14 23:57:13 MSK)

Ответ на: нужна группа wheel от druidcat 05.12.14 23:57:13 MSK

Он уже в группе wheel: su не распознаёт пароль root для не root-пользователя (комментарий) . В группе wheel надо присутсвовать, если в конфигурации включена опция по ограничению группы. В том же /etc/pam.d/su. У него нет ограничения. Любой пользователь может сделать su: su не распознаёт пароль root для не root-пользователя (комментарий)

Zubok ★★★★★
(06.12.14 00:22:41 MSK)
Последнее исправление: Zubok 06.12.14 00:26:41 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Zubok 05.12.14 19:25:18 MSK

Установил права доступа для su:

[bsm@maestro ~]$ ls -l -1 /bin/su
-rwsr-xr-x  1 root root 59760 Окт 12  2005 /bin/su

Проверил доступ:

[bsm@maestro ~]$ su
Password:
[root@maestro bsm]#

Всё работает. Спасибо. Тема закрыта.

bsm
(06.12.14 09:19:31 MSK) автор топика

Ответ на: комментарий от bsm 06.12.14 09:19:31 MSK

Вот интересно, как так получилось, что бит не выставлен. Вот выясни. Либо это политика дистрибутива (Fedora? CentOS?), что он не выставлен, то есть он там в пакете идет так. Но тогда при обновлении пакета бит опять вернется в исх. значение. Либо же это ты или предыдущие админы сделали.

Я уже два раза ранее встречался с такой проблемой у других. Потом стал раскапывать: оказалось, что они когда-то, когда читали про администрирование, прочли, что программы с suid битами - это какое-то потенциальное зло и надо их количество минимизировать. Поэтому они делали выборку по этим программам и снимали этот бит (у su и sudo, например). Потом, конечно, забывали об этом.

Zubok ★★★★★
(06.12.14 14:04:11 MSK)
Последнее исправление: Zubok 06.12.14 14:04:57 MSK (всего исправлений: 1)