Neuinstallation: User nicht in sudoer, root nicht zulässig

[CBXmicha]

... ich mache das "klassisch" mit RW-DVD's und nutze zum Brutzeln ImgBurn. Benutzt habe ich zum einen die drei DVD's des Offline- Satzes so wie eine DVD, auf der etwa 250MB Online- Installationssatz gebrannt wurden.
Selbige DVD's habe ich eben auch für UNBUNTU-Server am Laufen; bin ja mal gespannt, ob es da die gleichen Probleme gibt, welche dann ja wohl Richtung Hardware zeigen ...

[geier22]

@CBXmicha: Eine Frage interessiert mich nun aber doch : Welchen Hintergrund hat es, dass du deine Installation ohne einen zusätzlichen User machst? Nur mit einem root Account zu arbeiten finde ich nun doch etwas exotisch, um nicht zu sagen extrem leichtsinnig
Edit
Viele Oberflächen verweigern von Hause aus die direkte Anmeldung als root, was ich durchaus richtig finde. Dein Vorgehen bei der InsInstallation kann also auch ein beabsichtigtes Verhalten provoziert haben.

[CBXmicha]

... ne, das hat nix mit Leichtsinn zu tun. In diesem Haus leben nur Tochter, meine Frau und ich. Und wenn alles fertig ist, hat das System keinerlei Verbindung zur Außenwelt (Internet), von gelegentlichen Updates mal abgesehen. Also keinerlei Gefahr ...
Das allerdings erklärt noch nicht vollständig Deine Frage; ich versuch es mal so...: Auf den hier laufenden RPi's arbeite ich ebenfalls ausschließlich als root. Das hat auch den Hintergrund, das die Windows-Maschinen keine Probleme mit Zugriffsrechten haben. Es nerft schon oft genug, das eine via samba erstellte Datei auf dem RPi erst händisch für FHEM zugänglich gemacht werden muß. Diese Probleme versuche ich dadurch (bisher fast immer erfolgreich) zu umgehen.
Ein weiterer Punkt, der mich nicht nur bei Linux'en, sondern noch mehr bei WinDoof nervt ist die Tatsache, das der Hersteller/Distributor dem User immer mehr und öfter vorschreiben will, wie er was wo zu tun und zu lassen hat. Dagegen habe ich eine innerlich starke Abneigung, die wohl in meinem Charakter begründet liegt. M.E. reicht es für den verantwortungsvollen Anwender vollkommen, wenn bei solchen Wünschen auf die Gefahren hingewiesen wird; bei Profis/Admins ist das sowieso überflüssig, denn die sollten schon wissen, was sie tun ...

EDIT sagt gerade:
Die Online- Installation von UBUNTU-Server (nur root, kein Shadow, MATE full) ist gerade erfolgreich durchgelaufen. Keinerlei Probleme, sich anschließend als root anzumelden, nach ändern der sshd-config auch per SSH kein Problem.
Also kann ich wohl ein Problem mit der Hardware erstmal ausschließen ...

[NAB]

CBXmicha, war bei deinen Versuchen eigentlich auch einer mit Debian und "mit shadow" und "mit user" dabei?

[CBXmicha]

... ja, der zweite oder dritte Versuch war mit Shadow, root/pass und user/pass. Da war ein Login als root auch nicht möglich und der user konnte kein su oder sudo

[ot]NAB ... Hast Du was mit Bandmaschinen am Hut? [/ot]

[NAB]

Neee, ich hab nicht mal einen Hut

Mich interessiert nur, wieweit man diesen komischen Fehler bei dir einkreisen kann. Hier gab's vor ein paar Wochen schon mal jemanden, der geschworen hat, sein root-Passwort richtig angegeben zu haben und trotzdem nicht rein kam ... nach "shadow" hat da natürlich keiner gefragt. Aber bei dir scheint es ja noch andere Ursachen zu geben.

[uname]

... ja, der zweite oder dritte Versuch war mit Shadow, root/pass und user/pass. Da war ein Login als root auch nicht möglich und der user konnte kein su oder sudo

sudo war sowieso keine Option (in dem Fall gar nicht installiert/aktiviert). Dass du bei su das root-Passwort versucht hast davon gehe ich mal aus.

Wiederhole diese Art der Installation (am besten die Netinst ohne Desktop-Auswahl), versuche die Anmeldung direkt als root in der Konsole, über den Benutzer und dann su. Erzeuge damit entsprechende Logdaten. Boote ein Live-System, mounte es und poste interessante Ausgaben aus den Logs wie z.B. (/mnt) /var/log/auth.log. Du willst doch hoffentlich nicht jetzt schon aufgeben.

[tobo]

[*]bei einer Installation mit Shadow und Wahl des Root- Zugriffes / Kennwortes sowie User/Kennwort das Root-Kennwort nicht gesetzt wird

Aber das entspricht doch inhaltlich einer normalen durchschnittlichen Installation, lediglich werden die Werte im Expertenmodus gesetzt!? Dann sollte doch der Expertenmodus grundsätzlich scheitern!?

Ich habe das vorgestern/gestern mal getestet und zwar habe ich die DVD und die Netinstall von jeweils Jessie durchlaufen (Normal, kein Expertenmodus) lassen (root und User + Passwörter gesetzt), da hat alles funktioniert. Dann nochmal die DVD im Expertenmodus, keine Shadow-Passwörter und Root das Anmelden erlaubt und da ist das Verhalten wie von dir beschrieben aufgetreten. In der /etc/passwd war root die Anmeldung verboten root:*:....

[CBXmicha]

Du willst doch hoffentlich nicht jetzt schon aufgeben.

... naja, wenn man gefühlte 100 Baustellen gleichzeitig am Wickel hat (ist nun mal so, wenn man Haus, Hof, Oldtimer und weitere Hobbys hat), dann bremmst einen solch eine Sache schon massiv aus.
Aber ok, ich werde das noch mal angehen. Damit wir vom Gleichen reden, bitte ich Dich, hier mal die konkreten Links zum Live- Image und zu dem Image zu hinterlassen, welches ich dann explizit nehmen soll ...

[uname]

Hier die Links. Bitte schreibe in deinem nächsten Post ob du amd64 oder i386 genutzt hast.

amd64:
http://cdimage.debian.org/cdimage/unoff ... etinst.iso
i386:
http://cdimage.debian.org/cdimage/unoff ... etinst.iso

Wähle bitte bei tasksel (Bild etwa so: https://s31.postimg.org/ibzdq79kb/serveimage.png ) keinen Desktop aus. Also auch den ersten Stern ganz oben entfernen.

Als Live-System kannst du z.B. Knoppix verwenden. Ich selbst nutze meist http://www.grml.org oder http://www.bunsenlabs.org . Ist aber eigentlich egal. Du könntest auch eine Origial-Debian-Live-Version nehmen. Auch sollte dein Ubuntu-Installations-Medium geeignet sein. Werde mit "sudo -s" zu root unter Ubuntu.

[CBXmicha]

... ich habe amd64 genutzt, macht ja bei einem XEON Sinn

Ok, die Platte mache ich dann, Dank HotPlug, auf dem WIndows-System vollkommen platt. Da kenne ich mich zumindest mit aus...

Kann aber dauern bis heute Nacht oder morgen Abend... wie gesagt viele Baustellen ...

[geier22]

Aber das entspricht doch inhaltlich einer normalen durchschnittlichen Installation, lediglich werden die Werte im Expertenmodus gesetzt!? Dann sollte doch der Expertenmodus grundsätzlich scheitern!?

Nö das ist nun nicht so. Ich installiere grundsätzlich in Experten Modus. Der Fehler von dem ich berichtet habe, und der auch mit dem von NAB aufgezeigten Link übereinstimmt bezieht sich ausschließlich auf die Abwahl de Shadow- Passworts. Nur dann ist der Root Account gesperrt und ist mit der von mir anfangs beschriebenen Methode relativ einfach zu reparieren.
Einen anderen Fehler habe zumindest ich nicht beobachtet.
Hab mit gerade mal die CD von uname runter geladen und werde das jetzt auch nochmal testen.

[tobo]

Nö das ist nun nicht so.

Ich habe nur das zitiert, was da auch stand!

[geier22]

ok - missverstanden
Jetzt hab ich nochmal mit mit dem Image firmware-8.5.0-amd64-netinst herum gespielt (langsam ist auch mein Spieltrieb erschöpft )
Expertenmodus / nix ausgewählt in den ganzen Menüs / nur zum Schluss "Standart-Systemwerkzeuge" -> also Minimal Installation
Nur root installiert - keinen Nutzer.

Mit Shadow-PW: Alles ok

Ohne Shadow-PW gab es paar Probleme: Erwartungsgemäß war das Anmelden als root nicht möglich.
Allerdings wollte Jessie auch nicht auf init=/bin/bash und auch nicht auf init=/bin/sh reagieren (fuhr hoch und wollte immer noch das PW)
Also hab ich die Platte in eine andere VM eingehängt (gleichbedeutend mit einer Live CD) und mir die /etc/.shadow /etc/shadow angesehen.
Dort stand in der root Zeile

Code: Alles auswählen

root:*:16975:0:99999:7:::

wobei ich das Sternchen nirgends in der Beschreibung der Syntax dieser Datei finden konnte (eventuell ist dort nur ein Schreibfehler?)
Erklärt wird das hier ganz gut:http://www.cyberciti.biz/faq/understand ... adow-file/
also Blindflug und die Zeile geändert:

Code: Alles auswählen

root::16975:0:99999::::

Platte ausgehängt, gestartet ---> konnte PW setzen ---> alles gut, mit ein paar Fragezeichen.
Nach dem Setzen eines neuen PW für root hab ich mir die /etc/.shadow nochmal angesehen: Die von mir editierte Zeile ist nach wie vor so vorhanden.


Was da bei CBXmicha abläuft, kann ich im Augenblick nciht nachvollziehen. An eventuell absonderliche Hardware dürfte das an sich auch nciht liegen. Denn Hardwarefehler machen sich doch nciht dadurch bemerkbar, das einem die Anmeldung verweigert wird

Edit:
Jetzt hab ich doch noch was gefunden: Demnach wäre das Sternchen in der /etc/.shadow /etc/shadow ein Syntax - Fehler:
http://www.linux-community.de/Internal/ ... od-userdel

password: Das verschlüsselte Passwort; steht an dieser Stelle ein Sternchen @L: *, gibt es kein gültiges Passwort, mit dem sich der User einloggen könnte; dieses wird häufig für "Verwaltungs-User" eingetragen, wie z. B. daemon, bin oder lp.

[NAB]

Der * bedeutet eben, dass kein Passwort gesetzt ist:
http://www.selflinux.org/selflinux/html ... nux06.html

Aber die eigentliche Macke ist doch, dass überhaupt eine /etc/shadow angelegt wird ... und die dann offensichtlich auch noch ausgewertet wird. Eigentlich sollte das Passwort in der /etc/passwd stehen.

Nach dem Setzen eines neuen PW für root hab ich mir die /etc/.shadow nochmal angesehen: Die von mir editierte Zeile ist nach wie vor so vorhanden.

Nun scheint er die /etc/shadow auf einmal zu ignorieren.

Interessant wäre, was passiert, wenn du ohne shadow installierst und die ja eigentliche überflüssige /etc/shadow dann einfach löscht. Ein Blick in die /etc/passwd wäre auch interessant.

Was da bei CBXmicha abläuft, kann ich im Augenblick nciht nachvollziehen. An eventuell absonderliche Hardware dürfte das an sich auch nciht liegen. Denn Hardwarefehler machen sich doch nciht dadurch bemerkbar, das einem die Anmeldung verweigert wird

"Hardwarefehler" würde ich es nicht nennen ... aber vielleicht eine Besonderheit, die den Installer zur Fehlfunktion verleitet.

Oder er macht noch was anderes Außergewöhnliches bei der Installation, was er uns bisher nicht erzählt hat ... schon auf die Idee, ohne shadow-Datei zu installieren, wäre ich nie gekommen. Und wenn's wirklich ne drollige Macke im Installer ist, dann kann die sonstwo stecken und er kommt da selber auch nicht drauf.

[tobo]

wobei ich das Sternchen nirgends in der Beschreibung der Syntax dieser Datei finden konnte (eventuell ist dort nur ein Schreibfehler?)

Kein Schreibfehler. Dort wie auch in /etc/passwd bedeutet das *, dass kein Anmelden möglich ist. Offensichtlich aber nur auf normalem Wege!?

[geier22]

Kein Schreibfehler. Dort wie auch in /etc/passwd bedeutet das *, dass kein Anmelden möglich ist. Offensichtlich aber nur auf normalem Wege!?

Das ist es ja eben, das PW wurde ja während der Installation gesetzt. Also dürfte da eben kein Sternchen sein --> was auch die Erklärung dafür ist, dass man sich nicht anmelden kann.

Ein Blick in die /etc/passwd wäre auch interessant.

Hatte ich schon gemacht. Das waren die "taufrischen" Dateien vor der Restauration des Rroot-PW über den Single-User-Mode
viewtopic.php?f=12&t=161270&start=30#p1095720
und hier nochmal die beiden Dateien aus dem Letzten Versuch, nach Passwort - Restauration (bin zu Faul da jetzt weiter zu Installieren also nur Screens)



Letztendlich ergibt sich daraus: Wählt man shadow ab, setzt der Installer einfach kein Passwort, obwohl man eins eingegeben hat

[geier22]

So jetzt hab ich noch die /etc/shadow gelöscht (Variante ohne Shadow- Passwörter) -->Neustart ---> Debian ist zufrieden

[NAB]

viewtopic.php?f=12&t=161270&start=30#p1095720

Ah, da stand's ja schon ... sorry.

Ja, der eigentliche Fehler ist, dass in /etc/passwd kein Passwort(hash) steht. Was die /etc/.shadow- (?) soll und warum die ausgewertet wird, ist mir nicht klar. Aber solange in /etc/passwd ein * statt Passwort steht, hilft auch das Löschen der /etc/shadow nicht weiter.

Aber gut, dass mit "ohne shadow" was kaputt ist, das wussten wir schon länger. Das hilft CBXmicha aber nicht bei den anderen Problemen. Da scheint ja nicht mal eine Standard-Installation zu klappen ... oder was ich für "Standard" halte ...

CBXmicha, falls du noch Lust hast, kannst du bei dir ja den Zustand von /etc/passwd und /etc/shadow näher untersuchen. Und eine Reparatur geht wohl am bequemsten über eine Live-CD (Knoppix) ... der Stern hinter dem "root" muss weg.

[uname]

Also vielleicht kann mir jemand die Diskussion erklären.

Normalerweise gibt es eine /etc/passwd (ohne Passwörter) und eine /etc/shadow (mit Passwörter)
Was soll /etc/.shadow (Punkt shadow) überhaupt sein? Das ist doch nicht /etc/shadow? Habe ich vorher nie gesehen. Missverständnis? Tippfehler?

In dem zweiten Screenshot weiter oben ist doch eindeutig in /etc/passwd ein gehashtes Passwort.
Ist es nicht so, dass wenn man sagt "keine Shadow", dass dann das gehashte Passwort in /etc/passwd steht? Irgendwo muss es hin wenn es gesetzt wird, oder?

Interessant wäre im übrigen auch wenn mal jemand sich mit strace an den Anmeldeprozess hängt (Konsole, SSHD, ...) und geschaut wird ob /etc/passwd, /etc/shadow und vielleicht doch eine /etc/.shadow (Punkt shadow) irgendwo gelesen wird oder eben nicht.

[geier22]

Was soll /etc/.shadow (Punkt shadow) überhaupt sein? Das ist doch nicht /etc/shadow? Habe ich vorher nie gesehen. Missverständnis? Tippfehler?

Ja Tippfehler bzw. Copy-Paste Tippfehler --Sorry

Normalerweise gibt es eine /etc/passwd (ohne Passwörter) und eine /etc/shadow (mit Passwörter)

Wenn man die Installation ohne Shadow- Passwörter macht:
Es werden beide Dateien erstellt und in beiden ist das Root - PW mit ein * gekennzeichnet, obwohl man ein Passwort angegeben hat ---> d.h.: root kann sich nicht anmelden
Die beiden Screenshots stammen aus so einer Installation, allerdings wurde die /etc/shadow von mir editiert, sodass ich ein root - PW setzten konnte.
Die originalen dateien (nach der Installation ohne Shadow hatte ich hier bereits eingestellt:
viewtopic.php?f=12&t=161270&start=30#p1095720

Ist es nicht so, dass wenn man sagt "keine Shadow", dass dann das gehashte Passwort in /etc/passwd steht? Irgendwo muss es hin wenn es gesetzt wird, oder?

Genau das ist der Bug im Installer:
Wenn ich ohne Shadow - Passwörter installiere, werden beider Datein ( wobei die /etc/shadow wahrscheinlich gar nicht nötig ist) in der Root-Zeile mit einem * gekennzeichnet, antsatt in der /etc/passwd das gehashte Passwort für root einzutragen.

[MSfree]

Genau das ist der Bug im Installer:
Wenn ich ohne Shadow - Passwörter installiere, werden beider Datein ( wobei die /etc/shadow wahrscheinlich gar nicht nötig ist) in der Root-Zeile mit einem * gekennzeichnet, antsatt in der /etc/passwd das gehashte Passwort für root einzutragen.

Der Bug dürfte sich dann aber im passwd Programm befinden, das der installer aufruft, um /etc/passwd und /etc/shadow zu aktualisieren. Eventuell spielt auch pam da noch mit rein.

Ich finde allerdings eine Installation ohne /etc/shadow schon ziemlich befremdlich. Mit /etc/shadow bin ich 1992 bei Umstieg von Irix 3.5 auf Irix 4.0 das erste Mal konfrontiert worden, das Kozept ist also inzwischen uralt und hat sich aus gutem Grund durchgesetzt. /etc/passwd ist eine für jedermann lesbare Datei. Enthält diese die gehashten Passwörter, könnte jeder ohne besondere Rechte die Datei auslesen und eine Brute-Force-Attacke auf die Passworthashes durchführen, um an die Klartextpaßwörter zu kommen. /etc/shadow ist nur für root lesbar und wird nur vom login-Programm, das mit SUID-root läuft, bevor es seine Privilegien fallen läßt, ausgelesen. Das Abziehen der gehashten Paßwortlisten wird dadurch also erheblich erschwert.

Eine Verzicht auf /etc/shadow ist also keine gute Idee und wird vom Maintainer des Installers vermutlich auch gar nicht mehr getestet. Das einzige, was man dem Maintainer nun vorwerfen könnte ist, warum die Option, ohne shadow zu installieren, überhaupt vorhanden ist.

Mir ist diese Option bisher sowieso nicht aufgefallen, weil mir /etc/shadow so selbstverständlich wie notwendig erscheint, daß ich das nie explizit gesucht hätte.

[uname]

@geier22: Danke für die gute Erklärung
@MSfree: Sehe ich ähnlich

@CBXmicha:
Dann wollen wir mal auf die Installation warten. Am besten neben den Logfiles auch gleich die Auszüge aus /etc/passwd und /etc/shadow posten.

[geier22]

Eine Verzicht auf /etc/shadow ist also keine gute Idee und wird vom Maintainer des Installers vermutlich auch gar nicht mehr getestet. Das einzige, was man dem Maintainer nun vorwerfen könnte ist, warum die Option, ohne shadow zu installieren, überhaupt vorhanden ist.

Stimmt - ich bin da vor einiger Zeit nur darüber gestolpert, als ich am Probieren war, und in einer VM mal diese Option ausgewählt hatte. Das Ergebnis war wie hier ja ausführlich beschrieben, bloß hatte ich nicht der Rückschluss auf die Shadow- PW's gezogen. Die Erleuchtung kam erst in diesem Thread und als NAB auch noch einen verschimmelten Bug-Report dazu gefunden hatte.

Finale Erkundung:
Hab eben nebenbei noch mal eine VM (Net Install / Jessie) hergestellt: Es scheint da Unterschiede zwischen Jessie und Stretch zu geben.

Gestern hatte ich ja Versucht, in der Jessie Installation den Single-User Mode über das Ergänzen von init=/bin/basch bzw. init=/bin/sh aufzurufen (s.O.), was ja nicht klappte.
Hatte dann die VM in eine andere eingehängt und die /etc/shadow/ editiert. danach konnte ich das root- PW setzten.
Hätte ich auch einfacher haben können:
Bei Jessie hatte es jetzt gereicht, einfach den Recovery- Modus aus dem Grub-Menü aufzurufen - "passwd" einzugeben und anschließend nochmal das PW, dass ich auch während der Installation eingegeben hatte nochmals einzugeben. ---> alles gut.
Bei Stretch hatte das ja nicht geklappt, da dort die Meldung kam : Root account is locked.
hmmmmmm

[NAB]

Eine Verzicht auf /etc/shadow ist also keine gute Idee und wird vom Maintainer des Installers vermutlich auch gar nicht mehr getestet. Das einzige, was man dem Maintainer nun vorwerfen könnte ist, warum die Option, ohne shadow zu installieren, überhaupt vorhanden ist.

Da CBXmicha nur einen einzigen User einrichten wollte, nämlich "root", spricht überhaupt nichts dagegen, /etc/shadow wegzulassen - wenn der Installer es anbietet. Also entweder macht man's heil, oder man schmeißt es raus.

Bei Jessie hatte es jetzt gereicht, einfach den Recovery- Modus aus dem Grub-Menü aufzurufen - "passwd" einzugeben und anschließend nochmal das PW, dass ich auch während der Installation eingegeben hatte nochmals einzugeben. ---> alles gut.

Aha? Dann klappt's ja doch so wie im Bugreport angegeben (bei Jessie).

Aber wie hier:
viewtopic.php?f=12&t=161270&start=45#p1095890
zu lesen ist, hakt's bei CBXmicha ja auch bei einer "normalen" Installation.