[gelöst] su nicht mehr möglich - immediate abort

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
shell4life
Beiträge: 13
Registriert: 17.02.2010 17:52:18

[gelöst] su nicht mehr möglich - immediate abort

Beitrag von shell4life » 24.02.2010 02:27:11

Hi zusammen,

ich habe ein Problem das ein # su - benutzer nicht mehr möglich ist. Ich komme da nach langer suche einfach nicht weiter. Es bricht mit folgender Fehlermeldung ab. Die Login-Shell für user1 ist /bin/bash. Ein Login über SSH erfolgt ohne Probleme und ich bekomme den Prompt. Nur das su zickt rum :cry: Nur ist das für einige andere Dinge bei mir ziemlich wichtig.

user1:x:50014:50014::/home/user1:/bin/bash

Code: Alles auswählen

root@server:~# su user1
su: Critical error - immediate abort
root@server:~#
In /var/log/auth.log findet sich folgendes:

Code: Alles auswählen

Feb 24 02:21:41 server su[14111]: Successful su for user1 by root
Feb 24 02:21:41 server su[14111]: + pts/2 root:user1
Feb 24 02:21:41 server su[14111]: pam_unix(su:session): session opened for user user1 by root(uid=0)
Feb 24 02:21:41 server su[14111]: pam_open_session: Critical error - immediate abort
Irgendwie habe ich keinen schimmer wo ich noch gucken soll. Es gibt unter /etc/pam.d/ die Datei su, nur der Inhalt sieht ziemlich normal aus und wurde von mir auch nicht verändert. :?:


Viele Grüße
~T
Zuletzt geändert von shell4life am 24.02.2010 14:49:58, insgesamt 1-mal geändert.

Benutzeravatar
Saxman
Beiträge: 4233
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: su nicht mehr möglich - immediate abort

Beitrag von Saxman » 24.02.2010 07:28:30

Code: Alles auswählen

Critical error - immediate abort
Diese Fehlermeldung läßt auf Pam schließen. Das meckert so in der Art.

pam ermöglicht root hierdurch ohne passwort zu einem anderen user zu werden:

Code: Alles auswählen

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so
pam_rootok.so findet sich hier

Code: Alles auswählen

# mlocate pam_rootok
[...]
/lib/security/pam_rootok.so
und gehört zu dem paket

Code: Alles auswählen

# dpkg -S /lib/security/pam_rootok.so
libpam-modules: /lib/security/pam_rootok.so
also würde ich ein

Code: Alles auswählen

aptitude reinstall libpam-modules
versuchen Vielleicht hilft das ja schon.

Passiert dir das unter stable oder ist das testing/sid ?
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

uname
Beiträge: 12396
Registriert: 03.06.2008 09:33:02

Re: su nicht mehr möglich - immediate abort

Beitrag von uname » 24.02.2010 08:42:18

Oder die Analyse per "strace".

Code: Alles auswählen

strace -ff -o out.txt su - user1
Nun sollten ein paar Dateien

Code: Alles auswählen

out.txt.<pid>
angelegt worden sein. Vielleicht findest du dort irgendwas Interessantes.

shell4life
Beiträge: 13
Registriert: 17.02.2010 17:52:18

Re: su nicht mehr möglich - immediate abort

Beitrag von shell4life » 24.02.2010 12:22:52

@Saxman

Ja die Schritte bin ich mal durchgegangen und habe ein reinstall gemacht. Leider ohne erfolg, der Fehler besteht weiterhin.

uname

Ein strace habe ich erstelllt, aber so wirklich was brauchbares kann ich dem nicht entnehmen. Was mir nur auffällt ist das SELinux Dateien geöffnet werden, obwohl ich da nichts konfiguriert habe. Ok er sagt ab und zu file not found, aber das soll wohl mal in einem Trace vorkommen.

Code: Alles auswählen

open("/etc/pam.d/su", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=2305, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7f6e000
read(3, "#\n# The PAM configuration file fo"..., 4096) = 2305
open("/lib/security/pam_rootok.so", O_RDONLY) = 4
read(4, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0 \4\0\0004\0\0\0x"..., 512) = 512
fstat64(4, {st_mode=S_IFREG|0644, st_size=3128, ...}) = 0
mmap2(NULL, 6100, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 4, 0) = 0xb7f6c000
mmap2(0xb7f6d000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 4, 0) = 0xb7f6d000
close(4)                                = 0
open("/etc/ld.so.cache", O_RDONLY)      = 4
fstat64(4, {st_mode=S_IFREG|0644, st_size=27184, ...}) = 0
mmap2(NULL, 27184, PROT_READ, MAP_PRIVATE, 4, 0) = 0xb7dba000
close(4)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libselinux.so.1", O_RDONLY)  = 4
read(4, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\260B\0\0004\0\0\0\314"..., 512) = 512
fstat64(4, {st_mode=S_IFREG|0644, st_size=95964, ...}) = 0
mmap2(NULL, 101276, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 4, 0) = 0xb7da1000
mmap2(0xb7db8000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 4, 0x16) = 0xb7db8000
close(4)                                = 0
open("/etc/selinux/config", O_RDONLY|O_LARGEFILE) = -1 ENOENT (No such file or directory)
statfs64("/selinux", 84, 0xbf8831e0)    = -1 ENOENT (No such file or directory)

Grüße
~t

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22438
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: su nicht mehr möglich - immediate abort

Beitrag von KBDCALLS » 24.02.2010 13:07:22

Hast du cracklib installiert. ?

Dann versuche mal

Code: Alles auswählen

dpkg-reconfigure cracklib-runtime
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

uname
Beiträge: 12396
Registriert: 03.06.2008 09:33:02

Re: su nicht mehr möglich - immediate abort

Beitrag von uname » 24.02.2010 13:10:05

... die SELinux-Einträge habe ich auch obwohl ich es auch nicht nutze ...

Vielleicht mal den vollständigen Trace nach http://nopaste.debianforum.de stellen. Wie gesagt ob man was daraus erkennen kann kann ich nicht sagen.

shell4life
Beiträge: 13
Registriert: 17.02.2010 17:52:18

Re: su nicht mehr möglich - immediate abort

Beitrag von shell4life » 24.02.2010 14:49:34

Nein cracklib ist nicht installiert.

Wir haben den Fehler ganz wo anders finden können. Und zwar in folgenden Dateien:

In /etc/pam.d/su gibt es folgende Zeilen.

Code: Alles auswählen

# This module parses environment configuration file(s)
# and also allows you to use an extended config
# file /etc/security/pam_env.conf.
#
# parsing /etc/environment needs "readenv=1"
session       required   pam_env.so readenv=1
# locale variables are also kept into /etc/default/locale in etch
# reading this file *in addition to /etc/environment* does not hurt
session       required   pam_env.so readenv=1 envfile=/etc/default/locale
Wenn beide Module auskommentiert waren lief das "su" wieder. Dann haben wir und die Datei /etc/security/pam_env.conf mal genauer angesehen.

Hier stand nun folgendes drin.

Code: Alles auswählen

---cut---
#
PAGER           DEFAULT=less
MANPAGER        DEFAULT=less
LESS            DEFAULT="M q e h15 z23 b80"
#NNTPSERVER     DEFAULT=localhost
PATH            DEFAULT=${HOME}/bin:/usr/local/bin:/bin\
#:/usr/bin:/usr/local/bin/X11:/usr/bin/X11
#
# silly examples of escaped variables, just to show how they work.
#
#DOLLAR         DEFAULT=\$
#DOLLARDOLLAR   DEFAULT=        OVERRIDE=\$${DOLLAR}
#DOLLARPLUS     DEFAULT=\${REMOTEHOST}${REMOTEHOST}
#ATSIGN         DEFAULT=""      OVERRIDE=\@
---cut---
Ich weiß nicht wie in der PATH Variable der Umbruch zugekommen ist. Auf jeden Fall ist die Zeile nach dem Umbruch auskommentiert und es sollte so aussehen:

Code: Alles auswählen

#  Now some simple variables
#
PAGER           DEFAULT=less
MANPAGER        DEFAULT=less
LESS            DEFAULT="M q e h15 z23 b80"
#NNTPSERVER     DEFAULT=localhost
PATH            DEFAULT=${HOME}/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/bin/X11:/usr/bin/X11
#
# silly examples of escaped variables, just to show how they work.
#
#DOLLAR         DEFAULT=\$
#DOLLARDOLLAR   DEFAULT=        OVERRIDE=\$${DOLLAR}
Ich kann mir nicht erklären wie das zustande gekommen ist. Aber ich denke das Thema ist gelöst.

Danke allen!

Haldamir
Beiträge: 1
Registriert: 06.03.2024 22:24:08

Re: [gelöst] su nicht mehr möglich - immediate abort

Beitrag von Haldamir » 06.03.2024 22:28:41

Das Thema ist zwar ziemlich alt, ich ziehe es trotzdem nochmal raus, weil es mir geholfen hat.

Ich hatte nach einem update eines alten RasPi 1 genau den selben Fehler. Die Zeile mit der Pfadangabe in der Datei /etc/pam.d/su war an exakt der selben Stelle umgebrochen.

Scheint also ein Bug an irgend einer Stelle gewesen zu sein während des Ausführens von apt-get update oder upgrade

Gruß
Haldamir

Antworten