Пускает на tty без пароля!

3

4

Обновлял ядро. Ребутнулся, потом понадобилось на tty2. Ввёл неправильный пароль рута - пустило. Вышел, ввёл пароль «0» - снова пустило. Вышел, зашёл под пользователем с левым паролем - пустило. Зашёл в сессию кде, делаю su или sudo - требует верный пароль. Недавно проверял парой антивирусов - ничего подозрительного , в процессах - ничего подозрительного, ssh доступ на локалхост с игрушками не открыт, но думаю уже о худшем. Установлены SDDM+Plasma5+4.5.2-1

Ссылка

←	Virtualbox: Failed to load Kernel Modules

java с GUI и без

→

/etc/securetty? настройки getty?

Dark_SavanT ★★★★★
(11.05.16 22:50:02 MSK)

В конфигурационных файлах pam, т.е. /etc/pam.d ничего не трогал?

kostik87 ★★★★★
(11.05.16 22:50:45 MSK)

Ответ на: комментарий от Dark_SavanT 11.05.16 22:50:02 MSK

% cat securetty
#
# /etc/securetty
#

console
tty1
tty2
tty3
tty4
tty5
tty6
ttyS0
hvc0

# End of file

getty не использовал. Пускает самое интересное с ЛЮБЫМ паролем, т.е. не без ввода, а с неправильным даже.

fehhner ★★★★★
(11.05.16 22:54:07 MSK) автор топика

Ссылка

/etc/sudoers покажи

amorpher ★★★★★
(11.05.16 22:59:44 MSK)

Ответ на: комментарий от kostik87 11.05.16 22:50:45 MSK

В конфигурационных файлах pam, т.е. /etc/pam.d ничего не трогал?

нет, насколько помню

fehhner ★★★★★
(11.05.16 22:59:57 MSK) автор топика
Последнее исправление: fehhner 11.05.16 23:06:15 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от amorpher 11.05.16 22:59:44 MSK

% sudo cat /etc/sudoers                                                                                                      :(
## sudoers file.
##
## This file MUST be edited with the 'visudo' command as root.
## Failure to use 'visudo' may result in syntax or file permission errors
## that prevent sudo from running.
##
## See the sudoers man page for the details on how to write a sudoers file.
##

##
## Host alias specification
##
## Groups of machines. These may include host names (optionally with wildcards),
## IP addresses, network numbers or netgroups.
# Host_Alias	WEBSERVERS = www1, www2, www3

##
## User alias specification
##
## Groups of users.  These may consist of user names, uids, Unix groups,
## or netgroups.
# User_Alias	ADMINS = millert, dowdy, mikef

##
## Cmnd alias specification
##
## Groups of commands.  Often used to group related commands together.
# Cmnd_Alias	PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
# 			    /usr/bin/pkill, /usr/bin/top
# Cmnd_Alias	REBOOT = /sbin/halt, /sbin/reboot, /sbin/poweroff

##
## Defaults specification
##
## You may wish to keep some of the following environment variables
## when running commands via sudo.
##
## Locale settings
# Defaults env_keep += "LANG LANGUAGE LINGUAS LC_* _XKB_CHARSET"
##
## Run X applications through sudo; HOME is used to find the
## .Xauthority file.  Note that other programs use HOME to find   
## configuration files and this may lead to privilege escalation!
# Defaults env_keep += "HOME"
##
## X11 resource path settings
# Defaults env_keep += "XAPPLRESDIR XFILESEARCHPATH XUSERFILESEARCHPATH"
##
## Desktop path settings
# Defaults env_keep += "QTDIR KDEDIR"
##
## Allow sudo-run commands to inherit the callers' ConsoleKit session
# Defaults env_keep += "XDG_SESSION_COOKIE"
##
## Uncomment to enable special input methods.  Care should be taken as
## this may allow users to subvert the command being run via sudo.
# Defaults env_keep += "XMODIFIERS GTK_IM_MODULE QT_IM_MODULE QT_IM_SWITCHER"
##
## Uncomment to use a hard-coded PATH instead of the user's to find commands
# Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
##
## Uncomment to send mail if the user does not enter the correct password.
# Defaults mail_badpass
##
## Uncomment to enable logging of a command's output, except for
## sudoreplay and reboot.  Use sudoreplay to play back logged sessions.
# Defaults log_output
# Defaults!/usr/bin/sudoreplay !log_output
# Defaults!/usr/local/bin/sudoreplay !log_output
# Defaults!REBOOT !log_output

##
## Runas alias specification
##

##
## User privilege specification
##
root ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
%wheel ALL=(ALL) ALL
myuser comp=NOPASSWD: /sbin/rcvboxdrv

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
# %sudo	ALL=(ALL) ALL

## Uncomment to allow any user to run sudo if they know the password
## of the user they are running the command as (root by default).
# Defaults targetpw  # Ask for the password of the target user
# ALL ALL=(ALL) ALL  # WARNING: only use this together with 'Defaults targetpw'

## Read drop-in files from /etc/sudoers.d
## (the '#' here does not indicate a comment)
#includedir /etc/sudoers.d

fehhner ★★★★★
(11.05.16 23:01:59 MSK) автор топика

Ответ на: комментарий от fehhner 11.05.16 23:01:59 MSK

%wheel ALL=(ALL) ALL
myuser comp=NOPASSWD: /sbin/rcvboxdrv

зачем это тебе?

slon ★
(11.05.16 23:13:10 MSK)

Ответ на: комментарий от slon 11.05.16 23:13:10 MSK

Вторую строчку добавил, чтобы в авторан прописать sudo /sbin/rcvboxdrv setup, ибо виртуалбокс в противном случае ругался каждый раз при запуске вручную это делать. А первая строчка - чтобы sudo нормально работало с любыми командами, у меня в wheel всёравно только myuser.

fehhner ★★★★★
(11.05.16 23:19:18 MSK) автор топика
Последнее исправление: fehhner 11.05.16 23:20:05 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от amorpher 11.05.16 22:59:44 MSK

/etc/sudoers покажи

А разве sudo на процесс логина влияет?

torvn77 ★★★★★
(11.05.16 23:22:42 MSK)

Обновлял ядро.

Со старым ядром тоже самое?

arson ★★★★★
(12.05.16 00:01:10 MSK)

Ссылка

Ответ на: комментарий от torvn77 11.05.16 23:22:42 MSK

ну в кедах работает нормально или я не так понял?
пусть ещё смотрит passwd и group

amorpher ★★★★★
(12.05.16 00:06:25 MSK)

Ответ на: комментарий от amorpher 12.05.16 00:06:25 MSK

ну в кедах работает нормально или я не так понял?

Понял всё так, в терминале из кед пароль нужен, в tty - нет. Помню, с чем-то игрался достаточно давно, делал сессию отдельную иксов, добавлял пользователя под это, назвал nobody. Там что-то вроде автологина пытался сделать под своего пользователя, и чтобы qemu от пользователя, ограниченного в правах потом запускался, от которогу вообще нельзя сессию консоли запустить, сделал кстати, надо поточнее всё вспомнить и проверить утром. Но как могло получиться, что в tty подходит любой пароль под основного пользователя и рута - это для меня загадка.
Сразу вспоминается, как я отдавал ноут в сервис, хоть hdd и был люксом закриптован, нужно было его вообще наверное вынуть.

fehhner ★★★★★
(12.05.16 01:28:59 MSK) автор топика

Пускает на tty без пароля!

уря! швабодка!

anonymous
(12.05.16 01:48:05 MSK)

Ссылка

У тебя сломались конфиги PAM.

Deleted
(12.05.16 01:58:05 MSK)

Ответ на: комментарий от fehhner 12.05.16 01:28:59 MSK

записывать надо

amorpher ★★★★★
(12.05.16 09:14:30 MSK)

Ответ на: комментарий от fehhner 12.05.16 01:28:59 MSK

и для автологина кроме юнита системд ничего делать не надо

amorpher ★★★★★
(12.05.16 09:19:26 MSK)

Ссылка

Ответ на: комментарий от torvn77 11.05.16 23:22:42 MSK

он влияет на последующие действия, вплоть до рутового доступа без пароля

также можно просто установить арч с включением судо, но забыть пароль руту задать или не отключить ему вход

amorpher ★★★★★
(12.05.16 09:23:18 MSK)
Последнее исправление: amorpher 12.05.16 09:28:03 MSK (всего исправлений: 1)

Ответ на: комментарий от amorpher 12.05.16 09:23:18 MSK

Всё это так, но на сам процесс логина это влияния не оказывает.

torvn77 ★★★★★
(12.05.16 09:35:39 MSK)

Ответ на: комментарий от torvn77 12.05.16 09:35:39 MSK

ну если кто-то, кроме самого хозяина компа, потом не поменяет что ему надо

про полисикит уже сказали сразу

amorpher ★★★★★
(12.05.16 09:37:52 MSK)
Последнее исправление: amorpher 12.05.16 09:38:21 MSK (всего исправлений: 1)

Ссылка

проверь еще, не запускает ли sshd при старте системы :D

~~unt1tled~~ ★★★★
(12.05.16 09:48:15 MSK)

Ответ на: комментарий от Deleted 12.05.16 01:58:05 MSK

Вот, что в конфигах: http://pastebin.com/eGY0U4Jz

fehhner ★★★★★
(12.05.16 11:21:59 MSK) автор топика

Ответ на: комментарий от unt1tled 12.05.16 09:48:15 MSK

проверь еще, не запускает ли sshd при старте системы :D

Да уж, и грустно и смешно)

% systemctl status sshd                                                                                                               :(
● sshd.service - OpenSSH Daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; vendor preset: disabled)
   Active: inactive (dead)

fehhner ★★★★★
(12.05.16 11:25:09 MSK) автор топика

Ссылка

Ответ на: комментарий от fehhner 12.05.16 11:21:59 MSK

Где /etc/pam.conf? Зачем try_first_pass?

anonymous
(12.05.16 11:29:47 MSK)

Ответ на: комментарий от anonymous 12.05.16 11:29:47 MSK

Где /etc/pam.conf?

Не создавал, его нет

Зачем try_first_pass?

Чтобы в случае чего не вводить пароль 2 раза подряд видимо

fehhner ★★★★★
(12.05.16 11:48:31 MSK) автор топика

Ссылка

Ответ на: комментарий от Dark_SavanT 11.05.16 22:50:02 MSK

настройки getty?

Да, было дело, игрался с getty, вспомнил. В /etc/systemd/system/ папок с настройками вида getty@tty2.service, сейчас нет. Там есть:

# cat getty.target.wants/getty@tty1.service
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.

[Unit]
Description=Getty on %I
Documentation=man:agetty(8) man:systemd-getty-generator(8)
Documentation=http://0pointer.de/blog/projects/serial-console.html
After=systemd-user-sessions.service plymouth-quit-wait.service

# If additional gettys are spawned during boot then we should make
# sure that this is synchronized before getty.target, even though
# getty.target didn't actually pull it in.
Before=getty.target
IgnoreOnIsolate=yes

# On systems without virtual consoles, don't start any getty. Note
# that serial gettys are covered by serial-getty@.service, not this
# unit.
ConditionPathExists=/dev/tty0

[Service]
# the VT is cleared by TTYVTDisallocate
ExecStart=-/sbin/agetty --noclear %I $TERM
Type=idle
Restart=always
RestartSec=0
UtmpIdentifier=%I
TTYPath=/dev/%I
TTYReset=yes
TTYVHangup=yes
TTYVTDisallocate=yes
KillMode=process
IgnoreSIGPIPE=no
SendSIGHUP=yes

# Unset locale for the console getty since the console has problems
# displaying some internationalized messages.
Environment=LANG= LANGUAGE= LC_CTYPE= LC_NUMERIC= LC_TIME= LC_COLLATE= LC_MONETARY= LC_MESSAGES= LC_PAPER= LC_NAME= LC_ADDRESS= LC_TELEPHONE= LC_MEASUREMENT= LC_IDENTIFICATION=

[Install]
WantedBy=getty.target
DefaultInstance=tty1

fehhner ★★★★★
(12.05.16 12:17:30 MSK) автор топика

Ответ на: комментарий от fehhner 12.05.16 12:17:30 MSK

Чтобы в случае чего не вводить пароль 2 раза
Да, было дело, игрался с getty, вспомнил

главное антивирусом проверил

amorpher ★★★★★
(12.05.16 13:59:37 MSK)

Ответ на: комментарий от amorpher 12.05.16 13:59:37 MSK

главное антивирусом проверил

Окей, try_first_pass я отключил, если что - повторно активирую. По getty - я скинул инфу в прошлом сообщении. Что ещё посмотреть? Хочу починить уже и делами спокойно заниматься :(

fehhner ★★★★★
(12.05.16 15:43:07 MSK) автор топика

Ответ на: комментарий от fehhner 12.05.16 15:43:07 MSK

Включи отладку PAM, и смотри лог.

anonymous
(12.05.16 15:54:44 MSK)

Ответ на: комментарий от anonymous 12.05.16 15:54:44 MSK

May 12 15:54:21 comp systemd[1]: Started Getty on tty2.
May 12 15:54:23 comp login[2513]: pam_kwallet5(login:auth): (null): pam_sm_authenticate
May 12 15:54:23 comp login[2513]: pam_kwallet5(login:auth): pam_kwallet5: Couldn't get password (it is empty)
May 12 15:54:25 comp login[2513]: pam_kwallet5(login:setcred): pam_kwallet5: pam_sm_setcred
May 12 15:54:25 comp login[2513]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
May 12 15:54:25 comp login[2513]: pam_kwallet5(login:setcred): pam_kwallet5: pam_sm_setcred
May 12 15:54:25 comp login[2513]: ROOT LOGIN ON tty2

Это произошло, когда я переключился на tty2 и зашёл без пароля. Счас загуглю, как включить отладку.

fehhner ★★★★★
(12.05.16 15:59:39 MSK) автор топика

Ссылка

Ответ на: комментарий от amorpher 12.05.16 13:59:37 MSK

это не могло произойти из-за того, что я отключил ввод пароля для kwallet, чтобы он меня не тревожил каждые 5 минут? реально, очень назойливо - запускаешь браузер, заходишь в домашний вайфай, всё требовал и требовал пароль без остановки.

fehhner ★★★★★
(12.05.16 16:02:57 MSK) автор топика

Ответ на: комментарий от fehhner 12.05.16 16:02:57 MSK

kwallet

пофиг на него
запусти лайв манжары или ещё арча какого (антегрос) и забери нужные файлы

amorpher ★★★★★
(12.05.16 16:26:11 MSK)

Напомнило.

~~ToaDron~~ ★
(12.05.16 16:37:14 MSK)

Ответ на: комментарий от ToaDron 12.05.16 16:37:14 MSK

Напомнило.

Портов итак открытых нет у меня на этой тачке, но я ещё и за NATом провайдерским.

fehhner ★★★★★
(12.05.16 16:48:51 MSK) автор топика

Ссылка

Ответ на: комментарий от amorpher 12.05.16 16:26:11 MSK

запусти лайв манжары или ещё арча какого (антегрос) и забери нужные файлы

Если бы был точно уверен, какие нужны - просто отредактировал бы. Ну или скопировал, да.

fehhner ★★★★★
(12.05.16 16:53:23 MSK) автор топика

Ответ на: комментарий от anonymous 12.05.16 15:54:44 MSK

Скомпилировал пакет core/pam с параметрами options=(debug !strip), ничего не прибавилось в выхлопе.

fehhner ★★★★★
(12.05.16 17:10:59 MSK) автор топика

Ответ на: комментарий от fehhner 12.05.16 17:10:59 MSK

Это не то. Читай man pam_unix, например, там есть всё, первый же параметр.

anonymous
(12.05.16 17:35:36 MSK)

Ссылка

Ответ на: комментарий от fehhner 12.05.16 16:53:23 MSK

так посмотри какие файлы в пакетах pam/pambase/shadow и сравни

amorpher ★★★★★
(12.05.16 19:52:22 MSK)

Ссылка

Ответ на: комментарий от amorpher 12.05.16 09:14:30 MSK

записывать надо

Да уж, если голова дырявая - действительно надо. Вспомнил всё, игрался с логином тогда в систему и кваллетом ещё, как и сказал раньше и когда вносил изменения - сделал это через echo в файл и накосячил.

[root@comp pam.d]# cat login
auth optional pam_kwallet5.so  
session optional pam_kwallet5.so auto_start
auth required pam_securetty.so
auth requisite pam_nologin.so
auth include system-local-login
account include system-local-login
session include system-local-login

Вот так правильно в моём случае, а были только первые 2 строчки. Я сам - с хреновой памятью, а никто и моего внимания не обратил, я же выложил содержимое файла.

fehhner ★★★★★
(13.05.16 12:55:36 MSK) автор топика

Ответ на: комментарий от fehhner 13.05.16 12:55:36 MSK

Пофиксил? Что там в cat /etc/shadow | grep root

anonymous
(13.05.16 20:18:26 MSK)

Ответ на: комментарий от anonymous 13.05.16 20:18:26 MSK

Пофиксил? Что там в cat /etc/shadow | grep root

Да, там всё в порядке. Я вспомнил, когда накосячил - переписал файл, а не дополнил.

fehhner ★★★★★
(13.05.16 21:01:37 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 13.05.16 20:18:26 MSK

Тебе кстати мой шифрованный рутовый пароль ничего не даст. Мало того, что он такой сложности, что перебирать будешь не представляю сколько(Rainbowtables для частоиспользуемых слов чаще делают), так тебе его некуда деть потом, SSH и других сервисов у меня нет, а по левым линкам я хожу только с ноускриптом. И чтобы ты с ним делал потом, скажи?

fehhner ★★★★★
(14.05.16 01:02:45 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Virtualbox: Failed to load Kernel Modules

General

java с GUI и без

→

Похожие темы