[LXC] sudo: 'Sorry, try again.' x3 ohne Passwort-Abfrage

[Innocentus]

Bei dem System handelt es sich um ein von multistrap (native mode, required+important packages) installiertes, an LXC-Container angepasstes Debian Wheezy.

sudo wurde mit apt erfolgreich installiert:

Code: Alles auswählen

root@debian0:~# apt-get install sudo
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  sudo
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 842 kB of archives.
After this operation, 1882 kB of additional disk space will be used.
Get:1 http://ftp.de.debian.org/debian/ wheezy/main sudo amd64 1.8.5p2-1+nmu1 [842 kB]
Fetched 842 kB in 5s (149 kB/s)
Selecting previously unselected package sudo.
(Reading database ... 14272 files and directories currently installed.)
Unpacking sudo (from .../sudo_1.8.5p2-1+nmu1_amd64.deb) ...
Processing triggers for man-db ...
Setting up sudo (1.8.5p2-1+nmu1) ...

root kann sudo ohne Probleme verwenden (das ist aber nicht der Sinn von sudo).

Ein normaler Benutzer wurde mit adduser hinzugefügt, auf ein gültiges Passwort wurde geachtet:

Code: Alles auswählen

root@debian0:~# adduser debian
Adding user `debian' ...
Adding new group `debian' (1000) ...
Adding new user `debian' (1000) with group `debian' ...
Creating home directory `/home/debian' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for debian
Enter the new value, or press ENTER for the default
        Full Name []:
        Room Number []:
        Work Phone []:
        Home Phone []:
        Other []:
Is the information correct? [Y/n]
root@debian0:~# adduser debian sudo
Adding user `debian' to group `sudo' ...
Adding user debian to group sudo
Done.

Dann wurde mit dem normalen Benutzer angemeldet und sudo getestet:

Code: Alles auswählen

debian@debian0:~$ sudo test
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts
debian@debian0:~$

Eine Passwort-Abfrage wird überhaupt nicht angezeigt, ohne Zutun läuft das wie oben durch.

SELinux wurde deaktiviert, da das System in einem LXC-Container läuft.

Hier ein strace von sudo von Benutzer debian während es (genauso) wie oben fehlschlägt:
http://pastebin.com/TgWgdDcR

Vielen Dank für eure Antworten im Voraus!
Mit freundlichen Grüßen
Innocentus

[novalix]

Hmm,

keine

Code: Alles auswählen

/var/run/utmp

bzw. Derivate.
Könnte der Fehler sein.
Sollte eigentlich vom init-Prozess angelegt werden, s.

Code: Alles auswählen

man utmp

Code: Alles auswählen

touch /var/run/utmp && chown root:utmp /var/run/utmp && chmod 664 /var/run/utmp

und neu starten. Schauen, ob es dann geht.
Wenn ja, erklärt das natürlich nicht, warum die Datei nicht angelegt wurde.

Groetjes, niels

[Feuerstein]

Hallo!

Ganz sicher bin ich mir nicht, aber kann es sein das Du ein lib Problem hast?
ldd /usr/bin/sudu

Und dann die nötigen libs nachladen...

[Innocentus]

@novalix:
Habe ich angewendet, das Problem bleibt aber bestehen.
Auf /var/run/utmp kann als Datei sowohl von dem normalen Benutzer debian als auch von root aus zugegriffen werden.


@Feuerstein:
Bei linux-vdso.so wurde kein Pfad, nur eine Adresse angegeben, weist das vielleicht auf Probleme hin?
Edit: Das bei linux-vdso.so.1 nur eine Adresse gelistet wird, ist wohl normal: http://ilivetoseek.wordpress.com/2011/1 ... vdso-so-1/

Code: Alles auswählen

root@debian1:~# ldd /usr/bin/sudo
        linux-vdso.so.1 =>  (0x00007fff337ff000)
        libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007ff28dfdc000)
        libutil.so.1 => /lib/x86_64-linux-gnu/libutil.so.1 (0x00007ff28ddd9000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007ff28dbd4000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ff28d84a000)
        /lib64/ld-linux-x86-64.so.2 (0x00007ff28e200000)

Vielen Dank für eure Antworten!
Mit freundlichen Grüßen
Innocentus

[Feuerstein]

Bei linux-vdso.so wurde kein Pfad, nur eine Adresse angegeben, weist das vielleicht auf Probleme hin?
Edit: Das bei linux-vdso.so.1 nur eine Adresse gelistet wird, ist wohl normal: http://ilivetoseek.wordpress.com/2011/1 ... vdso-so-1/

Ich bestätige auch, dass das korrekt ist. Habe selber sudo kurz installiert und die Libs stimmen....

[habakug]

Hallo!

Dann wurde mit dem normalen Benutzer angemeldet und sudo getestet

Was ist das denn für ein seltsamer Test?

Code: Alles auswählen

debian@debian0:~$ sudo test
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts
debian@debian0:~$

Vielleicht ist ein Alias auf "test".

Code: Alles auswählen

$ which test
$ alias

Ich verstehe nicht ganz, warum das strace nicht mit "strace foo ..." anfängt, sondern irgendwo. Es scheint mir zudem nicht die günstigste Methode zu sein, hier mit strace herumzustochern.
Man kann auch

Code: Alles auswählen

$ sudo -s

zum Testen nehmen.

Gruss, habakug

[Feuerstein]

Ich finde diesen "Test" auch komisch.

Ich würde mal so nach ein paar Forschungen auf das hier tippen.

Code: Alles auswählen

sudo -E

weil aus man sudo:

The -E (preserve environment) option indicates to the
security policy that the user wishes to preserve their
existing environment variables. The security policy may
return an error if the -E option is specified and the user
does not have permission to preserve the environment.

[Innocentus]

Vielen Dank für eure Antworten.


@habakug:
sudo -s habe ich ausgeführt, allerdings tritt auch dann genau derselbe Fehler auf (s.u.).

@Feuerstein:
Der Fehler tritt auch bei einem sudo nano auf, er tritt bei jedem von sudo auszuführenden Befehl auf (einschließlich sudo su) (s.u.).
test returned einfach bei seinem Aufruf.

Code: Alles auswählen

debian@debian1:~$ which test
/usr/bin/test
debian@debian1:~$ alias
alias ls='ls --color=auto'
debian@debian1:~$ sudo -s
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts
debian@debian1:~$ sudo -E test
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts
debian@debian1:~$ sudo test
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts
debian@debian1:~$ sudo nano
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts
debian@debian1:~$

Mit freundlichen Grüßen
Inno

[habakug]

Hallo!

Was gibt denn

Code: Alles auswählen

$ sudo -l

als User (!) ?

Gruss, habakug

[bmario]

Mal die offensichtliche Frage:

Wurde /etc/sudoers angepasst?

[Innocentus]

Bei sudo -l tritt auch derselbe Fehler auf.

Code: Alles auswählen

debian@debian1:~$ sudo -l
Sorry, try again.
Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts

Mit freundlichen Grüßen
Inno

[Innocentus]

[...]Wurde /etc/sudoers angepasst?

Die /etc/sudoers wurde nicht verändert:

Code: Alles auswählen

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin$

# Host alias specification

# User alias specification

# Cmnd alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Vielen Dank für eure Antworten im Voraus!
Mit freundlichen Grüßen
Inno

[habakug]

Hallo!

Was gibt

Code: Alles auswählen

# cat /etc/pam.d/sudo

aus?
Hast du die "/etc/sudoers" mit einem Editor bearbeitet?

Gruss, habakug

[Innocentus]

[...]Was gibt

Code: Alles auswählen

# cat /etc/pam.d/sudo

aus?[...]

Code: Alles auswählen

root@debian1:~# cat /etc/pam.d/sudo
#%PAM-1.0

@include common-auth
@include common-account
@include common-session-noninteractive

[...]Hast du die "/etc/sudoers" mit einem Editor bearbeitet?

Nein, die Datei wurde nicht verändert.

Mit freundlichen Grüßen
Inno

[habakug]

Hallo!

Schau doch mal in eine Logdatei:

Code: Alles auswählen

# tail -n20 /var/log/auth.log

Gruss, habakug

[Innocentus]

Code: Alles auswählen

Dec 15 15:36:02 debian1 login[1266]: pam_unix(login:session): session closed for user root
Dec 15 15:36:04 debian1 login[1275]: pam_unix(login:session): session opened for user debian by LOGIN(uid=0)
Dec 15 15:36:07 debian1 sudo: pam_unix(sudo:auth): authentication failure; logname=debian uid=1000 euid=0 tty=/dev/tty1 ruser=debian rhost=  user=debian
Dec 15 15:36:13 debian1 sudo:   debian : 3 incorrect password attempts ; TTY=tty1 ; PWD=/home/debian ; USER=root ; COMMAND=/usr/bin/test
Dec 15 15:36:13 debian1 sudo: unable to execute /usr/sbin/sendmail: No such file or directory
Dec 15 15:36:14 debian1 login[1275]: pam_unix(login:session): session closed for user debian
Dec 15 15:36:15 debian1 login[1286]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Dec 15 15:36:15 debian1 login[1287]: ROOT LOGIN  on '/dev/tty1'

Mit freundlichen Grüßen
Inno

[Feuerstein]

Hallo!

Du hast aber doch ein ziemliches Durcheinander mit deinem Benutzernamen und Hostnamen. Wie oft hast du das nun schon alles geändert?

Kannst Du bitte einen "normalen" User anlegen (nicht Debian* oder sonst was. Vielleicht müller, mayer, moritz oder sonst was}, den in sudoers file anlegen und dann einen "normalen" Hostnamen deinem Rechner geben dito nix Debian* .

Dann versuch das noch einmal.

Viel Glück.
LG
F.

[habakug]

Hallo!

Es sieht so aus als sei PAM nicht richtig konfiguriert/installiert.

Code: Alles auswählen

sudo: pam_unix(sudo:auth): authentication failure

Man kann nochmal die Abhängigkeiten überprüfen:

Code: Alles auswählen

# ldd /usr/bin/sudo
	linux-vdso.so.1 =>  (0x00007fff237b3000)
	libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007f35a85ac000)
	libutil.so.1 => /lib/x86_64-linux-gnu/libutil.so.1 (0x00007f35a83a9000)
	libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f35a81a4000)
	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f35a7e1a000)
	/lib64/ld-linux-x86-64.so.2 (0x00007f35a87e8000)
# apt-cache depends sudo
sudo
  Hängt ab von: libc6
  Hängt ab von: libpam0g
  Hängt ab von: libselinux1
  Hängt ab von: zlib1g
  Hängt ab von: libpam-modules
  Kollidiert mit: sudo-ldap
  Ersetzt: sudo-ldap

Also z.B. nachschauen ob "libpam0g" und "libpam-modules" verfügbar ist.

Gruss, habakug